GitHub heeft de lancering aangekondigd van een gratis service voor het traceren van onbedoelde publicatie van vertrouwelijke gegevens in repositories, zoals encryptiesleutels, DBMS-wachtwoorden en API-toegangstokens. Voorheen was deze service alleen beschikbaar voor deelnemers aan het bètatestprogramma, maar is nu zonder beperkingen beschikbaar voor alle openbare repositories. Om verificatie van uw repository mogelijk te maken, dient u in de instellingen onder "Codebeveiliging en -analyse" de optie "Geheimen scannen" te activeren.
In totaal zijn er meer dan 200 sjablonen geïmplementeerd om verschillende soorten sleutels, tokens, certificaten en inloggegevens te detecteren. Lekken worden niet alleen in de code, maar ook in problemen, beschrijvingen en opmerkingen gezocht. Om foutpositieve resultaten te voorkomen, worden alleen gegarandeerde tokentypen gecontroleerd, die meer dan 100 verschillende services bestrijken, waaronder Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems en Yandex.Cloud. Daarnaast worden waarschuwingen verzonden wanneer zelfondertekende certificaten en sleutels worden gedetecteerd.
In januari werden 14 repositories die GitHub Actions gebruikten, geanalyseerd tijdens het experiment. Hieruit bleek dat 1110 repositories (7.9%, oftewel bijna elke 692e) geheime gegevens bevatten. Zo werden er 155 GitHub App-tokens, 155 Azure Storage-sleutels, 120 GitHub Personal-tokens, 50 Amazon AWS-sleutels en XNUMX Google API-sleutels in de repositories aangetroffen.
Bron: opennet.ru
