GitHub oznámil zavedení bezplatné služby pro sledování náhodného zveřejnění citlivých dat v úložištích, jako jsou šifrovací klíče, hesla DBMS a přístupové tokeny API. Dříve byla tato služba dostupná pouze pro účastníky beta testovacího programu, nyní však začala být poskytována bez omezení na všechna veřejná úložiště. Chcete-li povolit kontrolu vašeho úložiště, měli byste v nastavení v sekci „Zabezpečení a analýza kódu“ aktivovat možnost „Tajné skenování“.
Celkem bylo implementováno více než 200 šablon k identifikaci různých typů klíčů, tokenů, certifikátů a pověření. Hledání úniků se neprovádí pouze v kódu, ale také ve vydáních, popisech a komentářích. Aby se eliminovaly falešné poplachy, kontrolují se pouze zaručené typy tokenů, které pokrývají více než 100 různých služeb, včetně Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems a Yandex.Cloud. Kromě toho podporuje odesílání upozornění, když jsou detekovány certifikáty a klíče s vlastním podpisem.
V lednu experiment analyzoval 14 tisíc úložišť pomocí GitHub Actions. V důsledku toho byla přítomnost tajných dat zjištěna v 1110 úložištích (7.9 %, tedy téměř na každém dvanáctém). V úložištích bylo například identifikováno 692 tokenů aplikace GitHub, 155 klíčů Azure Storage, 155 osobních tokenů GitHub, 120 klíčů Amazon AWS a 50 klíčů Google API.
Zdroj: opennet.ru