GitHub het die bekendstelling van 'n gratis diens aangekondig om toevallige publikasie van sensitiewe data in bewaarplekke op te spoor, soos enkripsiesleutels, DBMS-wagwoorde en API-toegangstokens. Voorheen was hierdie diens slegs beskikbaar vir deelnemers aan die beta-toetsprogram, maar nou het dit begin word sonder beperkings aan alle openbare bewaarplekke. Om skandering van u bewaarplek moontlik te maak, moet u die opsie "Geheime skandering" aktiveer in die instellings in die afdeling "Kodesekuriteit en analise".
In totaal is meer as 200 sjablone geïmplementeer om verskillende tipes sleutels, tokens, sertifikate en geloofsbriewe te identifiseer. Die soektog na lekkasies word nie net in die kode uitgevoer nie, maar ook in kwessies, beskrywings en kommentaar. Om vals positiewe uit te skakel, word slegs gewaarborgde tokentipes nagegaan, wat meer as 100 verskillende dienste dek, insluitend Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems en Yandex.Cloud. Boonop ondersteun dit die stuur van waarskuwings wanneer selfondertekende sertifikate en sleutels bespeur word.
In Januarie het die eksperiment 14 duisend bewaarplekke ontleed met GitHub Actions. Gevolglik is die teenwoordigheid van geheime data in 1110 bewaarplekke opgespoor (7.9%, dit wil sê byna elke twaalfde). Byvoorbeeld, 692 GitHub App-tokens, 155 Azure Storage-sleutels, 155 GitHub Personal tokens, 120 Amazon AWS-sleutels en 50 Google API-sleutels is in die bewaarplekke geïdentifiseer.
Bron: opennet.ru