GitHub kondigde de introductie aan van een gratis dienst om de onbedoelde publicatie van gevoelige gegevens in repositories bij te houden, zoals encryptiesleutels, DBMS-wachtwoorden en API-toegangstokens. Voorheen was deze dienst alleen beschikbaar voor deelnemers aan het bètatestprogramma, maar nu wordt deze zonder beperkingen aangeboden aan alle openbare repository's. Om het scannen van uw repository mogelijk te maken, moet u in de instellingen in de sectie “Codebeveiliging en analyse” de optie “Geheim scannen” activeren.
In totaal zijn er meer dan 200 sjablonen geïmplementeerd om verschillende soorten sleutels, tokens, certificaten en inloggegevens te identificeren. Het zoeken naar lekken wordt niet alleen in de code uitgevoerd, maar ook in problemen, beschrijvingen en opmerkingen. Om valse positieven te elimineren, worden alleen gegarandeerde tokentypen gecontroleerd, die meer dan 100 verschillende services omvatten, waaronder Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems en Yandex.Cloud. Bovendien ondersteunt het het verzenden van waarschuwingen wanneer zelfondertekende certificaten en sleutels worden gedetecteerd.
In januari analyseerde het experiment 14 repositories met behulp van GitHub Actions. Als gevolg hiervan werd de aanwezigheid van geheime gegevens gedetecteerd in 1110 repositories (7.9%, d.w.z. bijna elke twaalfde). Er zijn bijvoorbeeld 692 GitHub App-tokens, 155 Azure Storage-sleutels, 155 GitHub Personal-tokens, 120 Amazon AWS-sleutels en 50 Google API-sleutels geïdentificeerd in de opslagplaatsen.
Bron: opennet.ru