GitHub ogłosił wprowadzenie bezpłatnej usługi śledzenia przypadkowej publikacji w repozytoriach wrażliwych danych, takich jak klucze szyfrujące, hasła DBMS czy tokeny dostępu API. Wcześniej usługa ta była dostępna tylko dla uczestników programu testów beta, ale teraz zaczęto ją świadczyć bez ograniczeń do wszystkich publicznych repozytoriów. Aby włączyć skanowanie swojego repozytorium, w ustawieniach w sekcji „Bezpieczeństwo i analiza kodu” należy włączyć opcję „Skanowanie tajne”.
W sumie wdrożono ponad 200 szablonów identyfikujących różne typy kluczy, tokenów, certyfikatów i danych uwierzytelniających. Wycieków szuka się nie tylko w kodzie, ale także w wydaniach, opisach i komentarzach. Aby wyeliminować fałszywe alarmy, sprawdzane są tylko gwarantowane typy tokenów, obejmujące ponad 100 różnych usług, w tym Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems i Yandex.Cloud. Dodatkowo obsługuje wysyłanie alertów w przypadku wykrycia certyfikatów i kluczy z podpisem własnym.
W styczniu w ramach eksperymentu przeanalizowano 14 tys. repozytoriów korzystając z GitHub Actions. W rezultacie obecność tajnych danych wykryto w 1110 repozytoriach (7.9%, czyli prawie co dwunasty). Na przykład w repozytoriach zidentyfikowano 692 tokeny aplikacji GitHub, 155 kluczy Azure Storage, 155 tokenów osobistych GitHub, 120 kluczy Amazon AWS i 50 kluczy Google API.
Źródło: opennet.ru