أعلن GitHub عن تقديم خدمة مجانية لتتبع النشر العرضي للبيانات الحساسة في المستودعات، مثل مفاتيح التشفير وكلمات مرور نظام إدارة قواعد البيانات (DBMS) ورموز الوصول إلى واجهة برمجة التطبيقات (API). في السابق، كانت هذه الخدمة متاحة فقط للمشاركين في برنامج اختبار بيتا، ولكن الآن بدأ تقديمها دون قيود لجميع المستودعات العامة. لتمكين فحص المستودع الخاص بك، في الإعدادات الموجودة في قسم "أمان وتحليل الكود"، يجب عليك تفعيل خيار "المسح السري".
في المجمل، تم تنفيذ أكثر من 200 نموذج لتحديد أنواع مختلفة من المفاتيح والرموز والشهادات وبيانات الاعتماد. يتم البحث عن التسريبات ليس فقط في الكود، ولكن أيضًا في المشكلات والأوصاف والتعليقات. للتخلص من النتائج الإيجابية الخاطئة، يتم فحص أنواع الرموز المميزة فقط، والتي تغطي أكثر من 100 خدمة مختلفة، بما في ذلك Amazon Web Services وAzure وCrates.io وDigitalOcean وGoogle Cloud وNPM وPyPI وRubyGems وYandex.Cloud. بالإضافة إلى ذلك، فهو يدعم إرسال التنبيهات عند اكتشاف شهادات ومفاتيح موقعة ذاتيًا.
وفي شهر يناير، قامت التجربة بتحليل 14 ألف مستودع باستخدام GitHub Actions. ونتيجة لذلك، تم اكتشاف وجود بيانات سرية في 1110 مستودعًا (7.9%، أي كل ثاني عشر تقريبًا). على سبيل المثال، تم تحديد 692 رمزًا مميزًا لتطبيق GitHub، و155 مفتاح تخزين Azure، و155 رمزًا مميزًا لـ GitHub Personal، و120 مفتاح Amazon AWS، و50 مفتاح Google API في المستودعات.
المصدر: opennet.ru