GitHub tilkynnti kynningu á ókeypis þjónustu til að fylgjast með birtingu viðkvæmra gagna fyrir slysni í geymslum, svo sem dulkóðunarlykla, DBMS lykilorð og API aðgangslykil. Áður fyrr var þessi þjónusta aðeins í boði fyrir þátttakendur í beta prófunaráætluninni, en nú er byrjað að veita henni án takmarkana fyrir allar opinberar geymslur. Til að virkja skönnun á geymslunni þinni, í stillingunum í „Kóðaöryggi og greining“ hlutanum, ættirðu að virkja „Leynilega skönnun“ valkostinn.
Alls hafa meira en 200 sniðmát verið innleidd til að bera kennsl á mismunandi gerðir lykla, tákna, vottorða og skilríkja. Leitin að leka fer ekki aðeins fram í kóðanum, heldur einnig í útgáfum, lýsingum og athugasemdum. Til að útrýma fölskum jákvættum eru aðeins tryggðar tákngerðir athugaðar, sem ná yfir meira en 100 mismunandi þjónustu, þar á meðal Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems og Yandex.Cloud. Að auki styður það sendingu viðvarana þegar sjálfundirrituð vottorð og lyklar finnast.
Í janúar greindi tilraunin 14 þúsund geymslur með GitHub Actions. Fyrir vikið greindust tilvist leynilegra gagna í 1110 geymslum (7.9%, þ.e. næstum tólftu hverri). Til dæmis voru 692 GitHub App tákn, 155 Azure Storage lyklar, 155 GitHub Personal tákn, 120 Amazon AWS lyklar og 50 Google API lyklar auðkenndir í geymslunum.
Heimild: opennet.ru