GitHub tilkynnti að það hafi styrkt vernd gegn viðkvæmum gögnum sem var óvart skilin eftir í kóðanum af forriturum frá því að fara inn í geymslur þess. Til dæmis gerist það að stillingarskrár með DBMS lykilorðum, táknum eða API aðgangslyklum lenda í geymslunni. Áður var skönnun framkvæmt í óvirkri stillingu og gerði það mögulegt að bera kennsl á leka sem þegar hafði átt sér stað og var innifalinn í geymslunni. Til að koma í veg fyrir leka hefur GitHub að auki byrjað að bjóða upp á möguleika á að loka sjálfkrafa á skuldbindingar sem innihalda viðkvæm gögn.
Athugunin er framkvæmd meðan á git push stendur og leiðir til myndunar öryggisviðvörunar ef tákn fyrir tengingu við venjuleg API finnast í kóðanum. Alls hafa 69 sniðmát verið innleidd til að auðkenna mismunandi gerðir lykla, tákna, vottorða og skilríkja. Til að útrýma fölskum jákvættum eru aðeins tryggðar tákntegundir athugaðar. Eftir lokun er verktaki beðinn um að fara yfir vandamálakóðann, laga lekann og endurtaka eða merkja blokkina sem rangan.
Möguleikinn á að loka fyrir leka fyrirbyggjandi er sem stendur aðeins í boði fyrir stofnanir sem hafa aðgang að GitHub Advanced Security þjónustunni. Skönnun með óvirkri stillingu er ókeypis fyrir allar opinberar geymslur, en greiðist áfram fyrir einkageymslur. Greint er frá því að óvirk skönnun hafi þegar greint meira en 700 þúsund leka af trúnaðargögnum í einkageymslum.
Heimild: opennet.ru