Cyhoeddodd GitHub gyflwyno gwasanaeth am ddim i olrhain cyhoeddi data sensitif yn ddamweiniol mewn ystorfeydd, megis allweddi amgryptio, cyfrineiriau DBMS a thocynnau mynediad API. Yn flaenorol, dim ond i gyfranogwyr y rhaglen brofi beta oedd y gwasanaeth hwn ar gael, ond erbyn hyn mae wedi dechrau cael ei ddarparu heb gyfyngiadau i bob storfa gyhoeddus. Er mwyn galluogi sganio'ch ystorfa, yn y gosodiadau yn yr adran "Cod security and analysis", dylech actifadu'r opsiwn "Sganio cyfrinachol".
At ei gilydd, mae mwy na 200 o dempledi wedi'u rhoi ar waith i nodi gwahanol fathau o allweddi, tocynnau, tystysgrifau a chymwysterau. Mae'r chwiliad am ollyngiadau yn cael ei wneud nid yn unig yn y cod, ond hefyd mewn materion, disgrifiadau a sylwadau. Er mwyn dileu pethau cadarnhaol ffug, dim ond mathau o docynnau gwarantedig sy'n cael eu gwirio, sy'n cwmpasu mwy na 100 o wahanol wasanaethau, gan gynnwys Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems a Yandex.Cloud. Yn ogystal, mae'n cefnogi anfon rhybuddion pan ganfyddir tystysgrifau ac allweddi hunan-lofnodedig.
Ym mis Ionawr, dadansoddodd yr arbrawf 14 mil o ystorfeydd gan ddefnyddio GitHub Actions. O ganlyniad, canfuwyd presenoldeb data cyfrinachol mewn 1110 o gadwrfeydd (7.9%, h.y. bron bob deuddegfed). Er enghraifft, nodwyd 692 o docynnau GitHub App, 155 o allweddi Azure Storage, 155 tocyn Personol GitHub, 120 allwedd Amazon AWS, a 50 allwedd Google API yn yr ystorfeydd.
Ffynhonnell: opennet.ru