GitHub oznámil zavedenie bezplatnej služby na sledovanie náhodného zverejnenia citlivých údajov v úložiskách, ako sú šifrovacie kľúče, heslá DBMS a prístupové tokeny API. Predtým bola táto služba dostupná len pre účastníkov beta testovacieho programu, no teraz sa začala poskytovať bez obmedzení na všetky verejné úložiská. Ak chcete povoliť kontrolu vášho úložiska, v nastaveniach v časti „Bezpečnosť a analýza kódu“ by ste mali aktivovať možnosť „Tajné skenovanie“.
Celkovo bolo implementovaných viac ako 200 šablón na identifikáciu rôznych typov kľúčov, tokenov, certifikátov a poverení. Hľadanie únikov sa vykonáva nielen v kóde, ale aj v číslach, popisoch a komentároch. Na odstránenie falošných poplachov sa kontrolujú iba zaručené typy tokenov, ktoré pokrývajú viac ako 100 rôznych služieb vrátane Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems a Yandex.Cloud. Okrem toho podporuje odosielanie upozornení, keď sa zistia certifikáty a kľúče s vlastným podpisom.
V januári experiment analyzoval 14 1110 úložísk pomocou akcií GitHub. V dôsledku toho bola prítomnosť tajných údajov zistená v 7.9 úložiskách (692 %, t. j. takmer na každom dvanástom). V úložiskách bolo napríklad identifikovaných 155 tokenov aplikácie GitHub, 155 kľúčov Azure Storage, 120 osobných tokenov GitHub, 50 kľúčov Amazon AWS a XNUMX kľúčov Google API.
Zdroj: opennet.ru