GitHub mengumumkan pengenalan perkhidmatan percuma untuk menjejak penerbitan data sensitif secara tidak sengaja dalam repositori, seperti kunci penyulitan, kata laluan DBMS dan token akses API. Sebelum ini, perkhidmatan ini hanya tersedia untuk peserta dalam program ujian beta, tetapi kini ia telah mula disediakan tanpa sekatan kepada semua repositori awam. Untuk mendayakan pengimbasan repositori anda, dalam tetapan dalam bahagian "Keselamatan dan analisis kod", anda harus mengaktifkan pilihan "Pengimbasan rahsia".
Secara keseluruhan, lebih daripada 200 templat telah dilaksanakan untuk mengenal pasti jenis kunci, token, sijil dan bukti kelayakan yang berbeza. Pencarian kebocoran dilakukan bukan sahaja dalam kod, tetapi juga dalam isu, penerangan dan ulasan. Untuk menghapuskan positif palsu, hanya jenis token yang dijamin disemak, meliputi lebih daripada 100 perkhidmatan berbeza, termasuk Perkhidmatan Web Amazon, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems dan Yandex.Cloud. Selain itu, ia menyokong penghantaran makluman apabila sijil dan kunci yang ditandatangani sendiri dikesan.
Pada bulan Januari, percubaan menganalisis 14 ribu repositori menggunakan Tindakan GitHub. Akibatnya, kehadiran data rahsia telah dikesan dalam 1110 repositori (7.9%, iaitu hampir setiap dua belas). Contohnya, 692 token Apl GitHub, 155 kunci Storan Azure, 155 token Peribadi GitHub, 120 kunci Amazon AWS dan 50 kunci API Google telah dikenal pasti dalam repositori.
Sumber: opennet.ru