GitHub-ek doako zerbitzu bat sartu zuela iragarri zuen biltegietan datu sentikorrak ustekabean argitaratzeko, hala nola enkriptazio-gakoak, DBMS pasahitzak eta API sarbide-tokenak. Lehen, zerbitzu hau beta proben programako parte-hartzaileentzat bakarrik zegoen erabilgarri, baina orain biltegi publiko guztietan murrizketarik gabe ematen hasi da. Zure biltegiaren eskaneatzea gaitzeko, "Kodearen segurtasuna eta analisia" ataleko ezarpenetan, "Eskaneatze sekretua" aukera aktibatu beharko zenuke.
Guztira, 200 txantiloi baino gehiago ezarri dira gako, token, ziurtagiri eta kredentzial mota desberdinak identifikatzeko. Isurien bilaketa kodean ez ezik, gaietan, deskribapenetan eta iruzkinetan ere egiten da. Positibo faltsuak ezabatzeko, bermatutako token motak bakarrik egiaztatzen dira, 100 zerbitzu ezberdin baino gehiago hartzen dituztenak, Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems eta Yandex.Cloud barne. Horrez gain, autosinatutako ziurtagiriak eta gakoak detektatzen direnean alertak bidaltzea onartzen du.
Urtarrilean, esperimentuak 14 mila biltegi aztertu zituen GitHub Actions erabiliz. Ondorioz, datu sekretuen presentzia detektatu zen 1110 biltegietan (%7.9, hau da, ia hamabitik behin). Adibidez, 692 GitHub App token, 155 Azure Storage gako, 155 GitHub Personal token, 120 Amazon AWS gako eta 50 Google API gako identifikatu ziren biltegietan.
Iturria: opennet.ru