Το GitHub ανακοίνωσε την εισαγωγή μιας δωρεάν υπηρεσίας για την παρακολούθηση της τυχαίας δημοσίευσης ευαίσθητων δεδομένων σε αποθετήρια, όπως κλειδιά κρυπτογράφησης, κωδικούς πρόσβασης DBMS και διακριτικά πρόσβασης API. Παλαιότερα, αυτή η υπηρεσία ήταν διαθέσιμη μόνο σε συμμετέχοντες στο πρόγραμμα δοκιμών beta, αλλά τώρα άρχισε να παρέχεται χωρίς περιορισμούς σε όλα τα δημόσια αποθετήρια. Για να ενεργοποιήσετε τη σάρωση του αποθετηρίου σας, στις ρυθμίσεις στην ενότητα «Ασφάλεια και ανάλυση κώδικα», πρέπει να ενεργοποιήσετε την επιλογή «Μυστική σάρωση».
Συνολικά, περισσότερα από 200 πρότυπα έχουν εφαρμοστεί για τον εντοπισμό διαφορετικών τύπων κλειδιών, διακριτικών, πιστοποιητικών και διαπιστευτηρίων. Η αναζήτηση για διαρροές πραγματοποιείται όχι μόνο στον κώδικα, αλλά και σε θέματα, περιγραφές και σχόλια. Για να εξαλειφθούν τα ψευδώς θετικά, ελέγχονται μόνο οι εγγυημένοι τύποι διακριτικών, που καλύπτουν περισσότερες από 100 διαφορετικές υπηρεσίες, συμπεριλαμβανομένων των υπηρεσιών Web Amazon, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems και Yandex.Cloud. Επιπλέον, υποστηρίζει την αποστολή ειδοποιήσεων όταν εντοπίζονται αυτοϋπογεγραμμένα πιστοποιητικά και κλειδιά.
Τον Ιανουάριο, το πείραμα ανέλυσε 14 χιλιάδες αποθετήρια χρησιμοποιώντας το GitHub Actions. Ως αποτέλεσμα, η παρουσία μυστικών δεδομένων εντοπίστηκε σε 1110 αποθετήρια (7.9%, δηλαδή σχεδόν κάθε δωδέκατο). Για παράδειγμα, 692 κουπόνια εφαρμογής GitHub, 155 κλειδιά αποθήκευσης Azure, 155 προσωπικά κουπόνια GitHub, 120 κλειδιά Amazon AWS και 50 κλειδιά API Google εντοπίστηκαν στα αποθετήρια.
Πηγή: opennet.ru