GitHub абвясціў аб увядзенні ў строй бясплатнага сэрвісу па адсочванні выпадковай публікацыі ў рэпазітарах канфідэнцыйных дадзеных, такіх як ключы шыфравання, паролі да СКБД і токены доступу да API. Раней дадзены сэрвіс быў даступны толькі ўдзельнікам праграмы бэта-тэставанні, а зараз пачаў прадастаўляцца без абмежаванняў усім публічным рэпазітарам. Для ўключэння праверкі свайго рэпазітара ў наладах у секцыі "Code security and analysis" варта актываваць опцыю "Secret scanning".
Усяго рэалізавана больш за 200 шаблонаў для выяўлення розных відаў ключоў, токенаў, сертыфікатаў і ўліковых даных. Пошук уцечак ажыццяўляецца не толькі ў кодзе, але і ў issue, апісаннях і каментарах. Для выключэння ілжывых спрацоўванняў правяраюцца толькі гарантавана вызначаныя тыпы токенаў, якія ахопліваюць больш за 100 розных сэрвісаў, у тым ліку Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems і Yandex.Cloud. Дадаткова падтрымліваецца адпраўка папярэджанняў пры выяўленні самападпісаных сертыфікатаў і ключоў.
У студзені падчас эксперыменту прааналізавана 14 рэпазітараў, якія выкарыстоўваюць GitHub Actions. У выніку ў 1110 рэпазітарах (7.9%, г.зн. амаль у кожным дванаццатым) выяўлена наяўнасць сакрэтных дадзеных. Напрыклад, у рэпазітарах выяўлена 692 токенаў GitHub App, 155 ключоў Azure Storage, 155 токенаў GitHub Personal, 120 ключоў Amazon AWS і 50 ключоў Google API.
Крыніца: opennet.ru