A GitHub bejelentette egy ingyenes szolgáltatás bevezetését, amellyel nyomon követheti az érzékeny adatok, például titkosítási kulcsok, DBMS-jelszavak és API hozzáférési jogkivonatok véletlenszerű közzétételét. Korábban ez a szolgáltatás csak a béta tesztelési program résztvevői számára volt elérhető, de mostanra megkezdődött az összes nyilvános adattár számára korlátozás nélküli nyújtása. Az adattár vizsgálatának engedélyezéséhez a „Kódbiztonság és -elemzés” szakasz beállításainál aktiválni kell a „Titkos vizsgálat” opciót.
Összesen több mint 200 sablont implementáltak a különböző típusú kulcsok, tokenek, tanúsítványok és hitelesítő adatok azonosítására. A szivárgások keresését nem csak a kódban, hanem a kérdésekben, leírásokban és megjegyzésekben is végzik. A hamis pozitívumok kiküszöbölése érdekében csak a garantált tokentípusokat ellenőrzik, amelyek több mint 100 különböző szolgáltatásra vonatkoznak, beleértve az Amazon Web Services, az Azure, a Crates.io, a DigitalOcean, a Google Cloud, az NPM, a PyPI, a RubyGems és a Yandex.Cloud szolgáltatást. Ezenkívül támogatja a riasztások küldését, ha önaláírt tanúsítványokat és kulcsokat észlel.
Januárban a kísérlet 14 ezer adattárat elemzett a GitHub Actions segítségével. Ennek eredményeként 1110 adattárban (7.9%-ban, azaz majdnem minden tizenkettedikben) észlelték a titkos adatok jelenlétét. Például 692 GitHub App tokent, 155 Azure Storage kulcsot, 155 GitHub Personal tokent, 120 Amazon AWS-kulcsot és 50 Google API-kulcsot azonosítottunk a tárolókban.
Forrás: opennet.ru