GitHub, şifrələmə açarları, verilənlər bazası parolları və API giriş nişanları kimi məxfi məlumatların depolarda təsadüfən dərc edilməsini izləmək üçün pulsuz xidmətin tətbiqini elan etdi. Əvvəllər bu xidmət yalnız beta test proqramının iştirakçıları üçün əlçatan idisə, indi o, bütün ictimai depolara məhdudiyyətsiz təqdim olunmağa başlayıb. "Kod təhlükəsizliyi və təhlili" bölməsindəki parametrlərdə repozitorunuzun yoxlanılmasını aktivləşdirmək üçün "Gizli skan" seçimini aktivləşdirməlisiniz.
Ümumilikdə, müxtəlif növ açarların, tokenlərin, sertifikatların və etimadnamələrin müəyyən edilməsi üçün 200-dən çox şablon tətbiq edilmişdir. Sızmaların axtarışı təkcə kodda deyil, həm də buraxılışda, təsvirlərdə və şərhlərdə aparılır. Yanlış pozitivlərin qarşısını almaq üçün Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems və Yandex.Cloud daxil olmaqla 100-dən çox müxtəlif xidmətləri əhatə edən yalnız zəmanətli token növləri yoxlanılır. Bundan əlavə, öz-özünə imzalanmış sertifikatlar və açarlar aşkar edildikdə xəbərdarlıqların göndərilməsi dəstəklənir.
Yanvar ayında eksperiment GitHub Actions istifadə edərək 14 1110 repozitoriyanı təhlil etdi. Nəticədə, 7.9 anbarda (692%, yəni demək olar ki, hər on ikinci) məxfi məlumatların olması aşkar edilib. Məsələn, depolarda 155 GitHub App tokeni, 155 Azure Storage açarı, 120 GitHub Personal tokeni, 50 Amazon AWS açarı və XNUMX Google API açarı müəyyən edilib.
Mənbə: opennet.ru