GitHub a anunțat introducerea unui serviciu gratuit pentru a urmări publicarea accidentală a datelor sensibile în depozite, cum ar fi cheile de criptare, parolele DBMS și jetoanele de acces API. Anterior, acest serviciu era disponibil doar pentru participanții la programul de testare beta, dar acum a început să fie furnizat fără restricții pentru toate depozitele publice. Pentru a activa scanarea depozitului dvs., în setările din secțiunea „Securitate și analiză codului”, ar trebui să activați opțiunea „Scanare secretă”.
În total, au fost implementate peste 200 de șabloane pentru a identifica diferite tipuri de chei, jetoane, certificate și acreditări. Căutarea scurgerilor se efectuează nu numai în cod, ci și în probleme, descrieri și comentarii. Pentru a elimina falsele pozitive, sunt verificate doar tipurile de token garantate, acoperind mai mult de 100 de servicii diferite, inclusiv Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems și Yandex.Cloud. În plus, acceptă trimiterea de alerte atunci când sunt detectate certificate și chei autosemnate.
În ianuarie, experimentul a analizat 14 mii de depozite folosind GitHub Actions. Ca urmare, prezența datelor secrete a fost detectată în 1110 depozite (7.9%, adică aproape la fiecare a douăsprezecea parte). De exemplu, 692 de jetoane GitHub App, 155 de chei Azure Storage, 155 de jetoane GitHub Personal, 120 de chei Amazon AWS și 50 de chei Google API au fost identificate în depozite.
Sursa: opennet.ru