GitHub anunciou a introdución dun servizo gratuíto para rastrexar a publicación accidental de datos confidenciais en repositorios, como claves de cifrado, contrasinais de DBMS e tokens de acceso á API. Anteriormente, este servizo só estaba dispoñible para os participantes no programa de probas beta, pero agora comezou a proporcionarse sen restricións a todos os repositorios públicos. Para activar a dixitalización do seu repositorio, na configuración da sección "Seguridade e análise do código", debe activar a opción "Escaneado secreto".
En total, implementáronse máis de 200 modelos para identificar diferentes tipos de claves, tokens, certificados e credenciais. A busca de filtracións lévase a cabo non só no código, senón tamén en cuestións, descricións e comentarios. Para eliminar os falsos positivos, só se verifican os tipos de token garantidos, que abarcan máis de 100 servizos diferentes, incluíndo Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems e Yandex.Cloud. Ademais, admite o envío de alertas cando se detectan claves e certificados autoasinados.
En xaneiro, o experimento analizou 14 mil repositorios usando GitHub Actions. Como resultado, detectouse a presenza de datos secretos en 1110 repositorios (7.9%, é dicir, case cada duodécimo). Por exemplo, identificáronse nos repositorios 692 tokens da aplicación GitHub, 155 claves de Azure Storage, 155 tokens persoais de GitHub, 120 claves de Amazon AWS e 50 claves da API de Google.
Fonte: opennet.ru