GitHub teatas tasuta teenuse käivitamisest, mis jälgib repositooriume tundlike andmete, näiteks krüpteerimisvõtmete, andmebaasiparoolide ja API juurdepääsutokenite kogemata avaldamise suhtes. Varem ainult beetaprogrammi osalejatele saadaval olnud teenus on nüüd piiranguteta kasutusele võetud kõigis avalikes repositooriumides. Repositooriumi jälgimise lubamiseks lubage oma seadete jaotises „Koodi turvalisus ja analüüs” valik „Salajane skannimine”.
Erinevat tüüpi võtmete, lubade, sertifikaatide ja volituste tuvastamiseks on rakendatud üle 200 malli. Lekete tuvastamist teostatakse lisaks koodile ka probleemidele, kirjeldustele ja kommentaaridele. Valepositiivsete tulemuste välistamiseks kontrollitakse ainult garanteeritud lubade tüüpe, mis hõlmavad üle 100 erineva teenuse, sealhulgas Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems ja Yandex.Cloud. Samuti saadetakse hoiatusi, kui tuvastatakse iseallkirjastatud sertifikaate ja võtmeid.
Jaanuaris analüüsiti eksperimendi käigus 14 000 GitHub Actionsi kasutavat repositooriumi. Salajasi andmeid leiti 1110 repositooriumist (7.9% ehk peaaegu iga kaheteistkümnes). Näiteks tuvastati repositooriumidest 692 GitHubi rakenduse märki, 155 Azure'i salvestusvõtit, 155 GitHubi isiku märki, 120 Amazoni AWS-i võtit ja 50 Google'i API-võtit.
Allikas: opennet.ru
