GitHub a annoncé l'introduction d'un service gratuit pour suivre la publication accidentelle de données sensibles dans des référentiels, telles que les clés de chiffrement, les mots de passe SGBD et les jetons d'accès API. Auparavant, ce service n'était disponible que pour les participants au programme de test bêta, mais il a désormais commencé à être fourni sans restrictions à tous les référentiels publics. Pour activer l'analyse de votre référentiel, dans les paramètres de la section « Sécurité et analyse du code », vous devez activer l'option « Analyse secrète ».
Au total, plus de 200 modèles ont été mis en œuvre pour identifier différents types de clés, jetons, certificats et informations d'identification. La recherche de fuites s'effectue non seulement dans le code, mais également dans les tickets, les descriptions et les commentaires. Pour éliminer les faux positifs, seuls les types de jetons garantis sont vérifiés, couvrant plus de 100 services différents, notamment Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems et Yandex.Cloud. De plus, il prend en charge l'envoi d'alertes lorsque des certificats et des clés auto-signés sont détectés.
En janvier, l'expérience a analysé 14 1110 référentiels à l'aide de GitHub Actions. Ainsi, la présence de données secrètes a été détectée dans 7.9 692 référentiels (155 %, soit presque un douzième). Par exemple, 155 jetons d'application GitHub, 120 clés de stockage Azure, 50 jetons personnels GitHub, XNUMX clés Amazon AWS et XNUMX clés API Google ont été identifiés dans les référentiels.
Source: opennet.ru