GitHub hat die Einführung eines kostenlosen Dienstes zur Überwachung zufälliger Veröffentlichungen in Repositories vertraulicher Daten wie Verschlüsselungsschlüsseln, Datenbankpasswörtern und API-Zugriffstokens bekannt gegeben. Zuvor war dieser Dienst nur für Teilnehmer des Beta-Testprogramms verfügbar, nun steht er allen öffentlichen Repositories ohne Einschränkungen zur Verfügung. Um die Überprüfung Ihres Repositories zu aktivieren, müssen Sie in den Einstellungen den Bereich „Code-Sicherheit und -Analyse“ die Option „Secret Scanning“ aktivieren.
Es sind über 200 Vorlagen zur Erkennung verschiedener Arten von Schlüsseln, Tokens, Zertifikaten und Anmeldedaten implementiert. Die Suche nach Leaks erfolgt nicht nur im Code, sondern auch in Issues, Beschreibungen und Kommentaren. Zur Vermeidung falsch positiver Ergebnisse werden nur garantiert erkennbare Token-Typen geprüft, die über 100 verschiedene Dienste umfassen, darunter Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems und Yandex.Cloud. Zusätzlich wird die Möglichkeit unterstützt, Warnungen beim Entdecken von selbstsignierten Zertifikaten und Schlüsseln zu versenden.
Im Januar wurden im Rahmen eines Experiments 14.000 Repositories, die GitHub Actions verwenden, analysiert. Dabei wurden in 1.110 Repositories (7,9 %, also in nahezu jedem zwölften) vertrauliche Daten festgestellt. Beispielsweise wurden in den Repositories 692 GitHub App-Tokens, 155 Azure Storage-Schlüssel, 155 GitHub Personal-Tokens, 120 Amazon AWS-Schlüssel und 50 Google API-Schlüssel entdeckt.
Quelle: opennet.ru
