Gianunsyo sa GitHub ang pagpaila sa usa ka libre nga serbisyo aron masubay ang aksidente nga pagmantala sa sensitibo nga datos sa mga repository, sama sa mga yawe sa pag-encrypt, mga password sa DBMS ug mga token sa pag-access sa API. Kaniadto, kini nga serbisyo magamit ra sa mga partisipante sa beta testing program, apan karon nagsugod na kini nga gihatag nga walaβy mga pagdili sa tanan nga mga pampublikong repositoryo. Aron mahimo ang pag-scan sa imong repository, sa mga setting sa seksyon nga "Seguridad ug pagtuki sa code", kinahanglan nimo nga i-aktibo ang kapilian nga "Secret scanning".
Sa kinatibuk-an, labaw pa sa 200 ka mga templates ang gipatuman aron sa pag-ila sa lain-laing mga matang sa mga yawe, mga token, mga sertipiko ug mga kredensyal. Ang pagpangita alang sa mga pagtulo gihimo dili lamang sa code, apan usab sa mga isyu, paghubit ug komento. Aron mawagtang ang mga bakak nga positibo, ang mga garantisadong tipo sa token lamang ang gisusi, nga naglangkob sa labaw sa 100 ka lainlaing mga serbisyo, lakip ang Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems ug Yandex.Cloud. Dugang pa, gisuportahan niini ang pagpadala mga alerto kung makit-an ang mga sertipiko ug mga yawe nga gipirmahan sa kaugalingon.
Niadtong Enero, gisusi sa eksperimento ang 14 ka libo nga mga repository gamit ang GitHub Actions. Ingon usa ka sangputanan, ang presensya sa sekreto nga datos nakit-an sa 1110 nga mga repositoryo (7.9%, i.e. hapit matag ika-dose). Pananglitan, 692 GitHub App token, 155 Azure Storage keys, 155 GitHub Personal tokens, 120 Amazon AWS keys, ug 50 Google API keys ang giila sa mga repository.
Source: opennet.ru