GitHub je napovedal uvedbo brezplačne storitve za sledenje nenamernih objav občutljivih podatkov v repozitorijih, kot so šifrirni ključi, gesla za DBMS in žetoni za dostop do API-ja. Prej je bila ta storitev na voljo samo udeležencem programa beta testiranja, zdaj pa se je začela brez omejitev zagotavljati vsem javnim repozitorijem. Če želite omogočiti skeniranje vašega repozitorija, morate v nastavitvah v razdelku »Varnost in analiza kode« aktivirati možnost »Skrivno skeniranje«.
Skupno je bilo implementiranih več kot 200 predlog za identifikacijo različnih tipov ključev, žetonov, potrdil in poverilnic. Iskanje puščanj se izvaja ne samo v kodi, ampak tudi v vprašanjih, opisih in komentarjih. Za odpravo lažnih pozitivnih rezultatov se preverjajo samo zajamčene vrste žetonov, ki pokrivajo več kot 100 različnih storitev, vključno s spletnimi storitvami Amazon, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems in Yandex.Cloud. Poleg tega podpira pošiljanje opozoril, ko so zaznana samopodpisana potrdila in ključi.
Januarja je eksperiment analiziral 14 tisoč skladišč z uporabo GitHub Actions. Posledično je bila prisotnost tajnih podatkov zaznana v 1110 repozitorijih (7.9 %, torej skoraj vsakem dvanajstem). V repozitorijih je bilo na primer identificiranih 692 žetonov GitHub App, 155 ključev Azure Storage, 155 žetonov GitHub Personal, 120 ključev Amazon AWS in 50 ključev Google API.
Vir: opennet.ru