ГитХуб је најавио увођење бесплатне услуге за праћење случајног објављивања осетљивих података у репозиторијумима, као што су кључеви за шифровање, ДБМС лозинке и АПИ приступни токени. Раније је ова услуга била доступна само учесницима у програму бета тестирања, али је сада почела да се пружа без ограничења свим јавним репозиторијумима. Да бисте омогућили скенирање вашег спремишта, у подешавањима у одељку „Безбедност и анализа кода“ треба да активирате опцију „Тајно скенирање“.
Укупно је имплементирано више од 200 шаблона за идентификацију различитих типова кључева, токена, сертификата и акредитива. Потрага за цурењем се спроводи не само у коду, већ иу издањима, описима и коментарима. Да би се елиминисали лажни позитивни резултати, проверавају се само гарантовани типови токена, који покривају више од 100 различитих услуга, укључујући Амазон Веб Сервицес, Азуре, Цратес.ио, ДигиталОцеан, Гоогле Цлоуд, НПМ, ПиПИ, РубиГемс и Иандек.Цлоуд. Поред тога, подржава слање упозорења када се детектују самопотписани сертификати и кључеви.
У јануару је експеримент анализирао 14 хиљада складишта користећи ГитХуб Ацтионс. Као резултат, присуство тајних података је откривено у 1110 складишта (7.9%, односно скоро сваки дванаести). На пример, 692 ГитХуб Апп токена, 155 Азуре Стораге кључева, 155 ГитХуб Персонал токена, 120 Амазон АВС кључева и 50 Гоогле АПИ кључева су идентификовани у спремиштима.
Извор: опеннет.ру