GitHub ilmoitti ottavansa käyttöön ilmaisen palvelun, jonka avulla voidaan seurata arkaluonteisten tietojen, kuten salausavaimien, tietokannan salasanojen ja API-käyttötunnisteiden, tahatonta julkaisemista. Aiemmin tämä palvelu oli vain betatestausohjelman osallistujien saatavilla, mutta nyt sitä on alettu tarjota rajoituksetta kaikille julkisille tietovarastoille. Jos haluat ottaa käyttöön arkiston vahvistuksen "Koodisuojaus ja -analyysi" -osion asetuksista, sinun on aktivoitava "Salainen tarkistus" -vaihtoehto.
Yhteensä yli 200 mallia on otettu käyttöön erityyppisten avainten, tokenien, varmenteiden ja valtuustietojen tunnistamiseksi. Vuotojen etsintää ei tehdä vain koodista, vaan myös numerosta, kuvauksista ja kommenteista. Väärien positiivisten tulosten välttämiseksi tarkastetaan vain taatut merkkityypit, jotka kattavat yli 100 erilaista palvelua, mukaan lukien Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems ja Yandex.Cloud. Lisäksi tuetaan hälytysten lähettämistä, kun itse allekirjoitettuja varmenteita ja avaimia havaitaan.
Tammikuussa kokeilu analysoi 14 1110 tietovarastoa GitHub Actionsin avulla. Tuloksena 7.9 arkistosta (692 % eli lähes joka kahdestoista) paljastettiin salaisen tiedon läsnäolo. Esimerkiksi 155 GitHub App -tunnusta, 155 Azure Storage -avainta, 120 GitHub Personal -tunnusta, 50 Amazon AWS -avainta ja XNUMX Google API -avainta on tunnistettu arkistoissa.
Lähde: opennet.ru