GitHub обяви подобрена защита срещу чувствителни данни, неволно оставени в кода от разработчици, влизащи в хранилища. Например, конфигурационни файлове, съдържащи пароли за бази данни, токени или ключове за достъп до API, понякога могат да попаднат в хранилища. Преди това сканирането се извършваше пасивно и позволяваше откриването на съществуващи течове, които вече са влезли в хранилище. За да предотврати течове, GitHub добави опция за автоматично блокиране на коммитове, за които е установено, че съдържат чувствителни данни.
Проверката се извършва по време на git push и генерира предупреждение за сигурност, ако в кода бъдат открити токени за свързване към често срещани API. Общо 69 модела са внедрени за откриване на различни видове ключове, токени, сертификати и идентификационни данни. За да се елиминират фалшивите положителни резултати, се проверяват само типове токени, за които е гарантирано, че ще бъдат открити. След блок, разработчикът е подканен да прегледа проблемния код, да поправи теча и да го commitне отново или да маркира блока като false.
Опцията за проактивно блокиране на течове в момента е достъпна само за организации с достъп до услугата GitHub Advanced Security. Пасивното сканиране е безплатно за всички публични хранилища, но остава платена услуга за частни хранилища. Според съобщенията, пасивното сканиране вече е открило над 700 000 теча на поверителни данни в частни хранилища.
Източник: opennet.ru
