GitHub annoncerede introduktionen af en gratis tjeneste til at spore utilsigtet offentliggørelse af følsomme data i depoter, såsom krypteringsnøgler, DBMS-adgangskoder og API-adgangstokens. Tidligere var denne tjeneste kun tilgængelig for deltagere i beta-testprogrammet, men nu er den begyndt at blive leveret uden begrænsninger til alle offentlige arkiver. For at aktivere scanning af dit lager skal du i indstillingerne i afsnittet "Kodesikkerhed og analyse" aktivere indstillingen "Hemmelig scanning".
I alt er mere end 200 skabeloner blevet implementeret til at identificere forskellige typer nøgler, tokens, certifikater og legitimationsoplysninger. Søgningen efter lækager udføres ikke kun i koden, men også i spørgsmål, beskrivelser og kommentarer. For at eliminere falske positiver kontrolleres kun garanterede tokentyper, der dækker mere end 100 forskellige tjenester, herunder Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems og Yandex.Cloud. Derudover understøtter den afsendelse af advarsler, når selvsignerede certifikater og nøgler detekteres.
I januar analyserede eksperimentet 14 tusinde repositories ved hjælp af GitHub Actions. Som et resultat blev tilstedeværelsen af hemmelige data detekteret i 1110 depoter (7.9 %, dvs. næsten hver tolvte). For eksempel blev 692 GitHub App-tokens, 155 Azure Storage-nøgler, 155 GitHub Personal-tokens, 120 Amazon AWS-nøgler og 50 Google API-nøgler identificeret i lagrene.
Kilde: opennet.ru