GitHub anoncis la enkondukon de senpaga servo por spuri hazardan publikigon de sentemaj datumoj en deponejoj, kiel ĉifradaj ŝlosiloj, DBMS-pasvortoj kaj API-alirĵetonoj. Antaŭe, ĉi tiu servo estis disponebla nur por partoprenantoj en la beta-testprogramo, sed nun ĝi komencis esti provizita sen limigoj al ĉiuj publikaj deponejoj. Por ebligi skanadon de via deponejo, en la agordoj en la sekcio "Koda sekureco kaj analizo", vi devas aktivigi la opcion "Sekreta skanado".
Entute, pli ol 200 ŝablonoj estis efektivigitaj por identigi malsamajn specojn de ŝlosiloj, ĵetonoj, atestiloj kaj akreditaĵoj. La serĉo de likoj okazas ne nur en la kodo, sed ankaŭ en temoj, priskriboj kaj komentoj. Por forigi falsajn pozitivojn, nur garantiitaj ĵetonaj tipoj estas kontrolitaj, kovrante pli ol 100 malsamajn servojn, inkluzive de Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems kaj Yandex.Cloud. Aldone, ĝi subtenas sendi atentigojn kiam memsubskribitaj atestiloj kaj ŝlosiloj estas detektitaj.
En januaro, la eksperimento analizis 14 mil deponejojn uzante GitHub Actions. Kiel rezulto, la ĉeesto de sekretaj datumoj estis detektita en 1110 deponejoj (7.9%, t.e. preskaŭ ĉiu dekduono). Ekzemple, 692 GitHub App-ĵetonoj, 155 Azure Storage-ŝlosiloj, 155 GitHub Personaj ĵetonoj, 120 Amazon AWS-ŝlosiloj, kaj 50 Google API-ŝlosiloj estis identigitaj en la deponejoj.
fonto: opennet.ru