GitHub njoftoi prezantimin e një shërbimi falas për të gjurmuar publikimin aksidental të të dhënave të ndjeshme në depo, të tilla si çelësat e enkriptimit, fjalëkalimet e DBMS dhe shenjat e hyrjes në API. Më parë, ky shërbim ishte i disponueshëm vetëm për pjesëmarrësit në programin e testimit beta, por tani ai ka filluar të ofrohet pa kufizime në të gjitha depot publike. Për të mundësuar skanimin e depove tuaja, në cilësimet në seksionin "Siguria dhe analiza e kodit", duhet të aktivizoni opsionin "Skanimi i fshehtë".
Në total, më shumë se 200 shabllone janë zbatuar për të identifikuar lloje të ndryshme çelësash, shenjash, certifikatash dhe kredencialesh. Kërkimi për rrjedhje kryhet jo vetëm në kod, por edhe në çështje, përshkrime dhe komente. Për të eliminuar pozitivët e rremë, kontrollohen vetëm llojet e garantuara të tokenave, duke mbuluar më shumë se 100 shërbime të ndryshme, duke përfshirë Shërbimet Ueb të Amazon, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems dhe Yandex.Cloud. Për më tepër, ai mbështet dërgimin e sinjalizimeve kur zbulohen certifikata dhe çelësa të vetë-nënshkruar.
Në janar, eksperimenti analizoi 14 mijë depo duke përdorur GitHub Actions. Si rezultat, prania e të dhënave sekrete u zbulua në 1110 depo (7.9%, d.m.th. pothuajse çdo e dymbëdhjetë). Për shembull, 692 çelësa të aplikacionit GitHub, 155 çelësa të ruajtjes Azure, 155 shenja personale GitHub, 120 çelësa Amazon AWS dhe 50 çelësa Google API u identifikuan në depo.
Burimi: opennet.ru