GitHub mengumumkan pengenalan layanan gratis untuk melacak publikasi data sensitif yang tidak disengaja di repositori, seperti kunci enkripsi, kata sandi DBMS, dan token akses API. Sebelumnya, layanan ini hanya tersedia untuk peserta program pengujian beta, namun kini sudah mulai disediakan tanpa batasan ke semua repositori publik. Untuk mengaktifkan pemindaian repositori Anda, dalam pengaturan di bagian βKeamanan dan analisis kodeβ, Anda harus mengaktifkan opsi βPemindaian rahasiaβ.
Secara total, lebih dari 200 templat telah diterapkan untuk mengidentifikasi berbagai jenis kunci, token, sertifikat, dan kredensial. Pencarian kebocoran dilakukan tidak hanya pada kode, tetapi juga pada isu, deskripsi, dan komentar. Untuk menghilangkan kesalahan positif, hanya jenis token terjamin yang diperiksa, yang mencakup lebih dari 100 layanan berbeda, termasuk Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems, dan Yandex.Cloud. Selain itu, ini mendukung pengiriman peringatan ketika sertifikat dan kunci yang ditandatangani sendiri terdeteksi.
Pada bulan Januari, percobaan menganalisis 14 ribu repositori menggunakan GitHub Actions. Akibatnya, keberadaan data rahasia terdeteksi di 1110 repositori (7.9%, yaitu hampir setiap dua belas). Misalnya, 692 token Aplikasi GitHub, 155 kunci Azure Storage, 155 token GitHub Personal, 120 kunci Amazon AWS, dan 50 kunci Google API diidentifikasi dalam repositori.
Sumber: opennet.ru