GitHub ha annunciato l'introduzione di un servizio gratuito per tenere traccia della pubblicazione accidentale di dati sensibili nei repository, come chiavi di crittografia, password DBMS e token di accesso API. In precedenza, questo servizio era disponibile solo per i partecipanti al programma di beta testing, ma ora ha iniziato a essere fornito senza restrizioni a tutti i repository pubblici. Per abilitare la scansione del tuo repository, nelle impostazioni della sezione “Sicurezza e analisi del codice”, devi attivare l'opzione “Scansione segreta”.
In totale, sono stati implementati più di 200 modelli per identificare diversi tipi di chiavi, token, certificati e credenziali. La ricerca delle perdite viene effettuata non solo nel codice, ma anche nei numeri, nelle descrizioni e nei commenti. Per eliminare i falsi positivi, vengono controllati solo i tipi di token garantiti, che coprono più di 100 servizi diversi, tra cui Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems e Yandex.Cloud. Inoltre, supporta l'invio di avvisi quando vengono rilevati certificati e chiavi autofirmati.
A gennaio l'esperimento ha analizzato 14mila repository utilizzando GitHub Actions. Di conseguenza, la presenza di dati segreti è stata rilevata in 1110 archivi (il 7.9%, ovvero quasi un dodicesimo). Ad esempio, nei repository sono stati identificati 692 token dell'app GitHub, 155 chiavi di archiviazione di Azure, 155 token GitHub Personal, 120 chiavi Amazon AWS e 50 chiavi API di Google.
Fonte: opennet.ru