GitHub huet d'Aféierung vun engem gratis Service ugekënnegt fir zoufälleg Verëffentlechung vu sensiblen Donnéeën a Repositories ze verfolgen, sou wéi Verschlësselungsschlësselen, DBMS Passwierder an API Zougang Tokens. Virdrun war dëse Service nëmme fir d'Participanten am Beta-Testprogramm verfügbar, awer elo huet et ugefaang ouni Restriktiounen un all ëffentleche Repositories geliwwert ze ginn. Fir d'Scannen vun Ärem Repository z'aktivéieren, an den Astellungen an der Sektioun "Code Sécherheet an Analyse", sollt Dir d'Optioun "Geheim Scannen" aktivéieren.
Am Ganzen si méi wéi 200 Template implementéiert fir verschidden Aarte vu Schlësselen, Tokens, Zertifikater an Umeldungsinformatiounen z'identifizéieren. D'Sich no Leckage gëtt net nëmmen am Code duerchgefouert, awer och an Themen, Beschreiwungen a Kommentaren. Fir falsch Positiver ze eliminéieren, ginn nëmmen garantéiert Token-Typen iwwerpréift, déi méi wéi 100 verschidde Servicer iwwerdecken, dorënner Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems an Yandex.Cloud. Zousätzlech ënnerstëtzt et d'Alarm ze schécken wann selbst ënnerschriwwene Certificaten a Schlësselen erkannt ginn.
Am Januar huet d'Experiment 14 Tausend Repositories mat GitHub Actions analyséiert. Als Resultat gouf d'Präsenz vu geheimen Donnéeën an 1110 Repositories festgestallt (7.9%, also bal all zwieleften). Zum Beispill, 692 GitHub App Tokens, 155 Azure Storage Schlësselen, 155 GitHub Personal Tokens, 120 Amazon AWS Schlësselen, an 50 Google API Schlësselen goufen an de Repositories identifizéiert.
Source: opennet.ru