GitHub teatas tasuta teenuse kasutuselevõtust, et jälgida hoidlates tundlike andmete, näiteks krüpteerimisvõtmete, DBMS-i paroolide ja API juurdepääsulubade juhuslikku avaldamist. Kui varem oli see teenus saadaval ainult beetatestiprogrammis osalejatele, siis nüüd on hakatud seda piiranguteta pakkuma kõikidele avalikele hoidlatele. Hoidla skannimise lubamiseks peaksite jaotise "Koodi turvalisus ja analüüs" sätetes aktiveerima valiku "Salajane skannimine".
Kokku on erinevat tüüpi võtmete, žetoonide, sertifikaatide ja mandaatide tuvastamiseks rakendatud üle 200 malli. Lekete otsimine toimub mitte ainult koodis, vaid ka probleemides, kirjeldustes ja kommentaarides. Valepositiivsete tulemuste kõrvaldamiseks kontrollitakse ainult garanteeritud märgitüüpe, mis hõlmavad rohkem kui 100 erinevat teenust, sealhulgas Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems ja Yandex.Cloud. Lisaks toetab see hoiatuste saatmist, kui tuvastatakse iseallkirjastatud sertifikaadid ja võtmed.
Jaanuaris analüüsiti katses GitHub Actionsi abil 14 tuhat hoidlat. Selle tulemusena tuvastati salajaste andmete olemasolu 1110 hoidlas (7.9%, s.o peaaegu iga kaheteistkümnes). Näiteks tuvastati hoidlates 692 GitHubi rakenduse luba, 155 Azure Storage võtit, 155 GitHub Personal tokenit, 120 Amazon AWS võtit ja 50 Google API võtit.
Allikas: opennet.ru