GitHub обяви въвеждането на безплатна услуга за проследяване на случайно публикуване на чувствителни данни в хранилища, като ключове за криптиране, пароли за СУБД и маркери за достъп до API. Преди това тази услуга беше достъпна само за участници в програмата за бета тестване, но сега тя започна да се предоставя без ограничения за всички публични хранилища. За да активирате сканирането на вашето хранилище, в настройките в секцията „Сигурност и анализ на кода“ трябва да активирате опцията „Тайно сканиране“.
Общо са внедрени повече от 200 шаблона за идентифициране на различни типове ключове, токени, сертификати и идентификационни данни. Търсенето на течове се извършва не само в кода, но и в проблеми, описания и коментари. За да се елиминират фалшивите положителни резултати, се проверяват само гарантирани типове токени, покриващи повече от 100 различни услуги, включително Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems и Yandex.Cloud. Освен това поддържа изпращане на предупреждения при откриване на самоподписани сертификати и ключове.
През януари експериментът анализира 14 хиляди хранилища с помощта на GitHub Actions. В резултат на това е установено наличие на секретни данни в 1110 хранилища (7.9%, т.е. почти всяко дванадесето). Например 692 GitHub App токена, 155 Azure Storage ключа, 155 GitHub Personal токена, 120 Amazon AWS ключа и 50 Google API ключа бяха идентифицирани в хранилищата.
Източник: opennet.ru