GitHub најави воведување бесплатна услуга за следење на случајно објавување на чувствителни податоци во складиштата, како што се клучеви за шифрирање, лозинки за DBMS и токени за пристап до API. Претходно, оваа услуга беше достапна само за учесниците во програмата за бета тестирање, но сега таа почна да се обезбедува без ограничувања за сите јавни складишта. За да овозможите скенирање на вашето складиште, во поставките во делот „Безбедност и анализа на кодот“, треба да ја активирате опцијата „Тајно скенирање“.
Вкупно, повеќе од 200 шаблони се имплементирани за да се идентификуваат различни типови на клучеви, токени, сертификати и ингеренции. Пребарувањето за протекување се врши не само во кодот, туку и во прашања, описи и коментари. За да се елиминираат лажните позитиви, се проверуваат само загарантираните типови на токени, кои опфаќаат повеќе од 100 различни услуги, вклучувајќи ги веб-услугите на Amazon, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems и Yandex.Cloud. Дополнително, поддржува испраќање предупредувања кога се откриваат самопотпишани сертификати и клучеви.
Во јануари, експериментот анализираше 14 илјади складишта користејќи GitHub Actions. Како резултат на тоа, присуството на тајни податоци беше откриено во 1110 складишта (7.9%, т.е. речиси секој дванаесетти). На пример, 692 токени за GitHub App, 155 Azure Storage клучеви, 155 GitHub Personal токени, 120 Amazon AWS клучеви и 50 Google API клучеви беа идентификувани во складиштата.
Извор: opennet.ru