GitHub je najavio uvođenje besplatne usluge za praćenje slučajnog objavljivanja osjetljivih podataka u spremištima, kao što su ključevi za šifriranje, DBMS lozinke i API pristupni tokeni. Prethodno je ova usluga bila dostupna samo sudionicima u programu beta testiranja, ali sada se počela pružati bez ograničenja svim javnim repozitorijima. Kako biste omogućili skeniranje svog repozitorija, u postavkama u odjeljku „Sigurnost i analiza koda” trebate aktivirati opciju „Tajno skeniranje”.
Ukupno je implementirano više od 200 predložaka za identifikaciju različitih vrsta ključeva, tokena, certifikata i vjerodajnica. Traženje curenja ne provodi se samo u kodu, već iu izdanjima, opisima i komentarima. Kako bi se uklonili lažni pozitivni rezultati, provjeravaju se samo zajamčene vrste tokena, pokrivajući više od 100 različitih usluga, uključujući Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems i Yandex.Cloud. Dodatno, podržava slanje upozorenja kada se otkriju samopotpisani certifikati i ključevi.
U siječnju je eksperiment analizirao 14 tisuća repozitorija pomoću GitHub Actions. Kao rezultat toga, prisutnost tajnih podataka otkrivena je u 1110 repozitorija (7.9%, odnosno gotovo svaki dvanaesti). Na primjer, 692 GitHub App tokena, 155 Azure Storage ključeva, 155 GitHub Personal tokena, 120 Amazon AWS ključeva i 50 Google API ključeva identificirano je u spremištima.
Izvor: opennet.ru