„GitHub“ paskelbė apie nemokamos paslaugos, skirtos stebėti atsitiktinį slaptų duomenų, tokių kaip šifravimo raktai, duomenų bazės slaptažodžiai ir API prieigos prieigos raktai, paskelbimą saugyklose, įvedimą. Anksčiau ši paslauga buvo prieinama tik beta testavimo programos dalyviams, tačiau dabar ji be apribojimų pradėta teikti visoms viešosioms saugykloms. Norėdami įjungti saugyklos patikrinimą skilties „Kodo sauga ir analizė“ nustatymuose, turite suaktyvinti parinktį „Slaptas nuskaitymas“.
Iš viso buvo įdiegta daugiau nei 200 šablonų įvairių tipų raktams, žetonams, sertifikatams ir kredencialams identifikuoti. Nuotėkių paieška atliekama ne tik kode, bet ir leidime, aprašymuose bei komentaruose. Siekiant išvengti klaidingų teigiamų rezultatų, tikrinami tik garantuoti žetonų tipai, apimantys daugiau nei 100 skirtingų paslaugų, įskaitant Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems ir Yandex.Cloud. Be to, palaikomas įspėjimų siuntimas, kai aptinkami savarankiškai pasirašyti sertifikatai ir raktai.
Sausio mėnesį eksperimentas išanalizavo 14 1110 saugyklų naudojant GitHub Actions. Dėl to 7.9 saugyklų (692%, t. y. beveik kas dvyliktoje) buvo atskleista slaptų duomenų buvimas. Pavyzdžiui, saugyklose buvo nustatyti 155 „GitHub App“ prieigos raktai, 155 „Azure Storage“ raktai, 120 „GitHub Personal“ prieigos raktai, 50 „Amazon AWS“ raktų ir XNUMX „Google“ API raktų.
Šaltinis: opennet.ru