GitHub шифрлау кілттері, дерекқор құпия сөздері және API кіру таңбалауыштары сияқты репозиторийлердегі құпия деректердің кездейсоқ жариялануын бақылау үшін тегін қызметтің енгізілгенін жариялады. Бұрын бұл қызмет тек бета тестілеу бағдарламасына қатысушыларға ғана қолжетімді болса, енді ол барлық қоғамдық репозиторийлерге шектеусіз ұсыныла бастады. «Код қауіпсіздігі және талдау» бөліміндегі параметрлерде репозиторийіңізді тексеруді қосу үшін «Құпия сканерлеу» опциясын белсендіру керек.
Барлығы кілттердің, белгілердің, сертификаттардың және тіркелгі деректерінің әртүрлі түрлерін анықтау үшін 200-ден астам үлгілер енгізілді. Ағып кетулерді іздеу тек кодта ғана емес, сонымен қатар шығарылымда, сипаттамаларда және түсініктемелерде де жүзеге асырылады. Жалған позитивтерді болдырмау үшін Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems және Yandex.Cloud сияқты 100-ден астам түрлі қызметтерді қамтитын кепілдік берілген токен түрлері ғана тексеріледі. Оған қоса, өздігінен қол қойылған сертификаттар мен кілттер анықталған кезде ескертулерді жіберуге қолдау көрсетіледі.
Қаңтар айында эксперимент GitHub Actions көмегімен 14 1110 репозиторийге талдау жасады. Нәтижесінде 7.9 репозиторийде (692%, яғни әрбір он екіден дерлік) құпия деректердің бар екені анықталды. Мысалы, репозитарийлерде 155 GitHub қолданбасының таңбалауышы, 155 Azure сақтау кілті, 120 GitHub жеке таңбалауышы, 50 Amazon AWS кілті және XNUMX Google API кілті анықталды.
Ақпарат көзі: opennet.ru