GitHub از معرفی یک سرویس رایگان برای ردیابی انتشار تصادفی داده های حساس در مخازن، مانند کلیدهای رمزگذاری، رمزهای عبور DBMS و توکن های دسترسی API خبر داد. پیش از این، این سرویس فقط برای شرکت کنندگان در برنامه آزمایش بتا در دسترس بود، اما اکنون ارائه آن بدون محدودیت برای تمامی مخازن عمومی آغاز شده است. برای فعال کردن اسکن مخزن خود، در تنظیمات بخش "امنیت و تجزیه و تحلیل کد"، باید گزینه "اسکن مخفی" را فعال کنید.
در مجموع، بیش از 200 قالب برای شناسایی انواع مختلف کلیدها، توکن ها، گواهی ها و اعتبارنامه ها پیاده سازی شده است. جستجوی نشت نه تنها در کد، بلکه در مسائل، توضیحات و نظرات نیز انجام می شود. برای حذف موارد مثبت کاذب، فقط انواع توکن های تضمین شده بررسی می شوند که بیش از 100 سرویس مختلف را پوشش می دهند، از جمله خدمات وب Amazon، Azure، Crates.io، DigitalOcean، Google Cloud، NPM، PyPI، RubyGems و Yandex.Cloud. علاوه بر این، از ارسال هشدارها هنگام شناسایی گواهینامه ها و کلیدهای خودامضا پشتیبانی می کند.
در ژانویه، این آزمایش 14 هزار مخزن را با استفاده از GitHub Actions تجزیه و تحلیل کرد. در نتیجه، وجود داده های مخفی در 1110 مخزن (7.9٪، یعنی تقریبا هر دوازدهم) شناسایی شد. به عنوان مثال، 692 توکن برنامه GitHub، 155 کلید Azure Storage، 155 توکن شخصی GitHub، 120 کلید AWS آمازون و 50 کلید Google API در مخازن شناسایی شدند.
منبع: opennet.ru