GitHub paziņoja par bezmaksas pakalpojuma ieviešanu, lai izsekotu nejaušu sensitīvu datu publicēšanu krātuvēs, piemēram, šifrēšanas atslēgas, DBMS paroles un API piekļuves pilnvaras. Iepriekš šis pakalpojums bija pieejams tikai beta testēšanas programmas dalībniekiem, bet tagad tas ir sācis bez ierobežojumiem nodrošināt visiem publiskajiem repozitorijiem. Lai iespējotu repozitorija skenēšanu, sadaļas “Koda drošība un analīze” iestatījumos ir jāaktivizē opcija “Slepenā skenēšana”.
Kopumā ir ieviestas vairāk nekā 200 veidnes, lai identificētu dažāda veida atslēgas, marķierus, sertifikātus un akreditācijas datus. Noplūžu meklēšana tiek veikta ne tikai kodā, bet arī izdevumos, aprakstos un komentāros. Lai novērstu viltus pozitīvus rezultātus, tiek pārbaudīti tikai garantētie marķieru veidi, kas aptver vairāk nekā 100 dažādus pakalpojumus, tostarp Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems un Yandex.Cloud. Turklāt tas atbalsta brīdinājumu sūtīšanu, kad tiek atklāti pašparakstīti sertifikāti un atslēgas.
Janvārī eksperimentā tika analizēti 14 tūkstoši repozitoriju, izmantojot GitHub Actions. Rezultātā slepenu datu klātbūtne konstatēta 1110 krātuvēs (7.9%, t.i., gandrīz katrā divpadsmitajā). Piemēram, krātuvēs tika identificēti 692 GitHub App marķieri, 155 Azure Storage atslēgas, 155 GitHub Personal marķieri, 120 Amazon AWS atslēgas un 50 Google API atslēgas.
Avots: opennet.ru