GitHub шифрлөө ачкычтары, DBMS сырсөздөрү жана API мүмкүндүк алуу энбелгилери сыяктуу репозиторийлердеги купуя маалыматтардын кокусунан жарыяланышын көзөмөлдөө үчүн акысыз кызматты киргизүүнү жарыялады. Мурда бул кызмат бета тестирлөө программасынын катышуучуларына гана жеткиликтүү болсо, азыр ал бардык коомдук репозиторийлерге чектөөсүз бериле баштады. Репозиторийиңизди сканерлөө үчүн "Коддун коопсуздугу жана талдоо" бөлүмүндөгү жөндөөлөрдөн "Жашыруун сканерлөө" опциясын активдештирүү керек.
Жалпысынан ачкычтардын, токендердин, сертификаттардын жана ишеним грамоталарынын ар кандай түрлөрүн аныктоо үчүн 200дөн ашык шаблондор ишке ашырылган. Агышууларды издөө кодексте гана эмес, ошондой эле чыгарылыштарда, сыпаттамаларда жана комментарийлерде да жүргүзүлөт. Жалган позитивдерди жок кылуу үчүн, Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems жана Yandex.Cloud сыяктуу 100дөн ашык ар кандай кызматтарды камтыган кепилденген токен түрлөрү гана текшерилет. Кошумча, ал өз алдынча кол коюлган сертификаттар жана ачкычтар табылганда эскертүүлөрдү жөнөтүүнү колдойт.
Январь айында эксперимент GitHub Actions аркылуу 14 миң репозиторийди талдады. Натыйжада, 1110 репозиторийде жашыруун маалыматтардын бар экендиги аныкталган (7.9%, б.а. дээрлик ар бир он экинчи). Мисалы, репозиторийлерде 692 GitHub App энбелгиси, 155 Azure Storage ачкычтары, 155 GitHub Жеке энбелгилери, 120 Amazon AWS ачкычтары жана 50 Google API ачкычтары аныкталган.
Source: opennet.ru