GitHub je najavio uvođenje besplatne usluge za praćenje slučajnog objavljivanja osjetljivih podataka u spremištima, kao što su ključevi za šifriranje, DBMS lozinke i API pristupni tokeni. Ranije je ova usluga bila dostupna samo učesnicima u programu beta testiranja, ali je sada počela da se pruža bez ograničenja svim javnim repozitorijumima. Da biste omogućili skeniranje vašeg spremišta, u postavkama u odjeljku “Sigurnost i analiza koda” trebate aktivirati opciju “Tajno skeniranje”.
Ukupno je implementirano više od 200 šablona za identifikaciju različitih tipova ključeva, tokena, certifikata i vjerodajnica. Potraga za curenjem se provodi ne samo u kodu, već iu pitanjima, opisima i komentarima. Da bi se eliminisali lažni pozitivni rezultati, provjeravaju se samo zajamčeni tipovi tokena, koji pokrivaju više od 100 različitih usluga, uključujući Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems i Yandex.Cloud. Osim toga, podržava slanje upozorenja kada se otkriju samopotpisani certifikati i ključevi.
U januaru je eksperiment analizirao 14 hiljada spremišta koristeći GitHub Actions. Kao rezultat toga, prisustvo tajnih podataka je otkriveno u 1110 repozitorija (7.9%, odnosno skoro svaki dvanaesti). Na primjer, 692 GitHub App tokena, 155 Azure Storage ključeva, 155 GitHub Personal tokena, 120 Amazon AWS ključeva i 50 Google API ključeva su identificirani u spremištima.
izvor: opennet.ru