GitHub kundige de yntroduksje fan in fergese tsjinst oan om tafallige publikaasje fan gefoelige gegevens yn repositories te folgjen, lykas fersiferingskaaien, DBMS-wachtwurden en API-tagongstokens. Eartiids wie dizze tsjinst allinich beskikber foar dielnimmers oan it beta-testprogramma, mar no is it begon te leverjen sûnder beheiningen oan alle iepenbiere repositories. Om it skennen fan jo repository yn te skeakeljen, moatte jo yn 'e ynstellings yn' e seksje "Koadefeiligens en analyze" de opsje "Geheime skennen" aktivearje.
Yn totaal binne mear dan 200 sjabloanen ymplementearre om ferskate soarten kaaien, tokens, sertifikaten en bewiisbrieven te identifisearjen. It sykjen nei lekken wurdt net allinich yn 'e koade útfierd, mar ek yn problemen, beskriuwingen en opmerkings. Om falske positiven te eliminearjen, wurde allinich garandearre tokentypen kontrolearre, dy't mear as 100 ferskate tsjinsten befetsje, ynklusyf Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems en Yandex.Cloud. Derneist stipet it it ferstjoeren fan warskôgings as sels-ûndertekene sertifikaten en kaaien wurde ûntdutsen.
Yn jannewaris analysearre it eksperimint 14 tûzen repositories mei GitHub Actions. As gefolch, de oanwêzigens fan geheime gegevens waard ûntdutsen yn 1110 repositories (7.9%, dus hast elke tolfde). Bygelyks, 692 GitHub App-tokens, 155 Azure Storage-kaaien, 155 GitHub Persoanlike tokens, 120 Amazon AWS-kaaien, en 50 Google API-kaaien waarden identifisearre yn 'e repositories.
Boarne: opennet.ru