GitHub kündigte die Einführung eines kostenlosen Dienstes an, um die versehentliche Veröffentlichung sensibler Daten in Repositories wie Verschlüsselungsschlüsseln, DBMS-Passwörtern und API-Zugriffstokens zu verfolgen. Bisher war dieser Dienst nur für Teilnehmer des Betatestprogramms verfügbar, jetzt wird er jedoch ohne Einschränkungen allen öffentlichen Repositories zur Verfügung gestellt. Um das Scannen Ihres Repositorys zu ermöglichen, sollten Sie in den Einstellungen im Abschnitt „Code-Sicherheit und -Analyse“ die Option „Geheimes Scannen“ aktivieren.
Insgesamt wurden mehr als 200 Vorlagen implementiert, um verschiedene Arten von Schlüsseln, Token, Zertifikaten und Anmeldeinformationen zu identifizieren. Die Suche nach Leaks erfolgt nicht nur im Code, sondern auch in Issues, Beschreibungen und Kommentaren. Um Fehlalarme auszuschließen, werden nur garantierte Token-Typen überprüft, die mehr als 100 verschiedene Dienste abdecken, darunter Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems und Yandex.Cloud. Darüber hinaus unterstützt es das Senden von Warnungen, wenn selbstsignierte Zertifikate und Schlüssel erkannt werden.
Im Januar analysierte das Experiment 14 Repositories mithilfe von GitHub Actions. Infolgedessen wurde das Vorhandensein geheimer Daten in 1110 Repositorien (7.9 %, also fast jedem zwölften) festgestellt. Beispielsweise wurden in den Repositories 692 GitHub App-Tokens, 155 Azure Storage-Schlüssel, 155 GitHub Personal-Tokens, 120 Amazon AWS-Schlüssel und 50 Google API-Schlüssel identifiziert.
Source: opennet.ru