GitHub ngumumake introduksi layanan gratis kanggo nglacak publikasi data sensitif sing ora disengaja ing repositori, kayata kunci enkripsi, sandhi DBMS lan token akses API. Sadurunge, layanan iki mung kasedhiya kanggo peserta ing program testing beta, nanging saiki wis wiwit kasedhiya tanpa watesan kanggo kabeh repositori umum. Kanggo ngaktifake mindhai gudang sampeyan, ing setelan ing bagean "Keamanan lan analisis kode", sampeyan kudu ngaktifake pilihan "Pemindaian rahasia".
Secara total, luwih saka 200 template wis dileksanakake kanggo ngenali macem-macem jinis kunci, token, sertifikat lan kredensial. Panelusuran kanggo bocor ditindakake ora mung ing kode, nanging uga ing masalah, deskripsi lan komentar. Kanggo ngilangi positip palsu, mung jinis token sing dijamin sing dicenthang, kalebu luwih saka 100 layanan sing beda-beda, kalebu Layanan Web Amazon, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems lan Yandex.Cloud. Kajaba iku, ndhukung ngirim tandha nalika sertifikat lan tombol sing ditandatangani dhewe dideteksi.
Ing wulan Januari, eksperimen kasebut nganalisa 14 ewu repositori nggunakake Tindakan GitHub. AkibatΓ©, ananΓ© data rahasia dideteksi ing 1110 repositori (7.9%, yaiku meh saben rolas). Contone, 692 token GitHub App, 155 tombol Azure Storage, 155 token GitHub Personal, 120 tombol Amazon AWS, lan 50 kunci Google API diidentifikasi ing repositori.
Source: opennet.ru