GitHub anunció la introducción de un servicio gratuito para rastrear la publicación accidental de datos confidenciales en repositorios, como claves de cifrado, contraseñas DBMS y tokens de acceso API. Anteriormente, este servicio estaba disponible solo para los participantes del programa de prueba beta, pero ahora ha comenzado a ofrecerse sin restricciones a todos los repositorios públicos. Para habilitar el escaneo de su repositorio, en la configuración de la sección “Seguridad y análisis de código”, debe activar la opción “Escaneo secreto”.
En total se han implementado más de 200 plantillas para identificar diferentes tipos de claves, tokens, certificados y credenciales. La búsqueda de filtraciones se realiza no sólo en el código, sino también en issues, descripciones y comentarios. Para eliminar falsos positivos, solo se verifican los tipos de tokens garantizados, que cubren más de 100 servicios diferentes, incluidos Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems y Yandex.Cloud. Además, admite el envío de alertas cuando se detectan claves y certificados autofirmados.
En enero, el experimento analizó 14 mil repositorios utilizando GitHub Actions. Como resultado, se detectó la presencia de datos secretos en 1110 repositorios (el 7.9%, es decir, casi uno de cada doce). Por ejemplo, en los repositorios se identificaron 692 tokens de la aplicación GitHub, 155 claves de Azure Storage, 155 tokens de GitHub Personal, 120 claves de Amazon AWS y 50 claves de la API de Google.
Fuente: opennet.ru