GitHub-ը հայտարարեց անվճար ծառայության ներդրման մասին՝ պահոցներում զգայուն տվյալների պատահական հրապարակմանը հետևելու համար, ինչպիսիք են գաղտնագրման բանալիները, DBMS գաղտնաբառերը և API մուտքի նշանները: Նախկինում այս ծառայությունը հասանելի էր միայն բետա թեստավորման ծրագրի մասնակիցներին, սակայն այժմ այն սկսել է առանց սահմանափակումների տրամադրվել բոլոր հանրային պահեստներին։ Ձեր պահեստի սկանավորումն ակտիվացնելու համար «Կոդերի անվտանգություն և վերլուծություն» բաժնում գտնվող կարգավորումներում դուք պետք է ակտիվացնեք «Գաղտնի սկանավորում» տարբերակը:
Ընդհանուր առմամբ, ավելի քան 200 կաղապարներ են ներդրվել տարբեր տեսակի բանալիների, նշանների, վկայագրերի և հավատարմագրերի նույնականացման համար: Արտահոսքի որոնումն իրականացվում է ոչ միայն օրենսգրքում, այլև հարցերում, նկարագրություններում և մեկնաբանություններում։ Կեղծ պոզիտիվները վերացնելու համար ստուգվում են միայն երաշխավորված նշանների տեսակները՝ ընդգրկելով ավելի քան 100 տարբեր ծառայություններ, այդ թվում՝ Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems և Yandex.Cloud: Բացի այդ, այն աջակցում է ծանուցումների ուղարկմանը, երբ հայտնաբերվում են ինքնաստորագրված վկայականներ և բանալիներ:
Հունվարին փորձը վերլուծել է 14 հազար պահեստ՝ օգտագործելով GitHub Actions-ը: Արդյունքում գաղտնի տվյալների առկայությունը հայտնաբերվել է 1110 պահեստներում (7.9%, այսինքն՝ գրեթե յուրաքանչյուր տասներկուերորդը): Օրինակ՝ պահոցներում հայտնաբերվել են 692 GitHub հավելվածի նշան, 155 Azure Storage, 155 GitHub Անձնական նշան, 120 Amazon AWS բանալի և 50 Google API ստեղն։
Source: opennet.ru