GitHub は、暗号化キー、データベース パスワード、API アクセス トークンなど、リポジトリ内の機密データの誤った公開を追跡する無料サービスの導入を発表しました。 従来、このサービスはベータテストプログラムの参加者のみが利用可能でしたが、現在はすべての公開リポジトリに対して制限なく提供され始めています。 「コードのセキュリティと分析」セクションの設定でリポジトリの検証を有効にするには、「シークレット スキャン」オプションを有効にする必要があります。
さまざまなタイプのキー、トークン、証明書、資格情報を識別するために、合計 200 を超えるテンプレートが実装されています。 リークの検索はコードだけでなく、問題、説明、コメントでも実行されます。 誤検知を回避するために、アマゾン ウェブ サービス、Azure、Crates.io、DigitalOcean、Google Cloud、NPM、PyPI、RubyGems、Yandex.Cloud を含む 100 以上の異なるサービスをカバーする、保証されたトークン タイプのみがチェックされます。 さらに、自己署名証明書とキーが検出された場合のアラートの送信もサポートされています。
14 月の実験では、GitHub Actions を使用して 1110 のリポジトリを分析しました。 その結果、7.9 のリポジトリ (692%、つまりほぼ 155 分の 155) で機密データの存在が明らかになりました。 たとえば、120 個の GitHub アプリ トークン、50 個の Azure Storage キー、XNUMX 個の GitHub Personal トークン、XNUMX 個の Amazon AWS キー、および XNUMX 個の Google API キーがリポジトリで識別されています。
出所: オープンネット.ru