GitHub a annoncé le lancement d'un service gratuit de surveillance des dépôts pour détecter la publication accidentelle de données sensibles, telles que les clés de chiffrement, les mots de passe de bases de données et les jetons d'accès API. Auparavant réservé aux participants du programme bêta, ce service est désormais déployé sans restriction dans tous les dépôts publics. Pour activer la surveillance de votre dépôt, activez l'option « Analyse des secrets » dans la section « Sécurité et analyse du code » de vos paramètres.
Plus de 200 modèles ont été implémentés pour détecter différents types de clés, jetons, certificats et identifiants. La détection des fuites s'effectue non seulement dans le code, mais aussi dans les anomalies, les descriptions et les commentaires. Pour éliminer les faux positifs, seuls les types de jetons garantis sont vérifiés, couvrant plus de 100 services différents, dont Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems et Yandex.Cloud. Des alertes sont également envoyées en cas de détection de certificats et de clés auto-signés.
En janvier, 14 000 dépôts utilisant GitHub Actions ont été analysés lors d'une expérience. Des données secrètes ont été découvertes dans 1 110 dépôts (7.9 %, soit près d'un sur douze). Par exemple, 692 jetons d'application GitHub, 155 clés de stockage Azure, 155 jetons personnels GitHub, 120 clés Amazon AWS et 50 clés d'API Google ont été identifiés dans ces dépôts.
Source: opennet.ru
