GitHub annonserte introduksjonen av en gratis tjeneste for å spore utilsiktet publisering av sensitive data i depoter, for eksempel krypteringsnøkler, DBMS-passord og API-tilgangstokener. Tidligere var denne tjenesten kun tilgjengelig for deltakere i beta-testprogrammet, men nå har den begynt å tilbys uten begrensninger til alle offentlige depoter. For å aktivere skanning av depotet ditt, i innstillingene i delen "Kodesikkerhet og analyse", bør du aktivere alternativet "Hemmelig skanning".
Totalt er mer enn 200 maler implementert for å identifisere ulike typer nøkler, tokens, sertifikater og legitimasjon. Søket etter lekkasjer utføres ikke bare i koden, men også i problemstillinger, beskrivelser og kommentarer. For å eliminere falske positiver, sjekkes kun garanterte tokentyper, som dekker mer enn 100 forskjellige tjenester, inkludert Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems og Yandex.Cloud. I tillegg støtter den sending av varsler når selvsignerte sertifikater og nøkler oppdages.
I januar analyserte eksperimentet 14 tusen depoter ved hjelp av GitHub Actions. Som et resultat ble tilstedeværelsen av hemmelige data oppdaget i 1110 depoter (7.9 %, dvs. nesten hver tolvte). For eksempel ble 692 GitHub App-tokens, 155 Azure Storage-nøkler, 155 GitHub Personal-tokens, 120 Amazon AWS-nøkler og 50 Google API-nøkler identifisert i repositoriene.
Kilde: opennet.ru