GitHub ngumumkeun bubuka layanan gratis pikeun ngalacak publikasi teu kahaja data sénsitip dina repositori, sapertos konci enkripsi, kecap akses database, sareng token aksés API. Saméméhna, layanan ieu ngan sadia pikeun pamilon dina program nguji béta, tapi ayeuna geus dimimitian disadiakeun tanpa larangan pikeun sakabéh repositories umum. Pikeun ngaktifkeun verifikasi gudang anjeun dina setélan dina bagian "Kaamanan sareng analisis kode", anjeun kedah ngaktipkeun pilihan "Scan rusiah".
Dina total, leuwih ti 200 témplat geus dilaksanakeun pikeun ngaidentipikasi rupa-rupa konci, tokens, sertipikat jeung credentials. Milarian bocor dilaksanakeun henteu ngan ukur dina kode, tapi ogé dina masalah, déskripsi sareng koméntar. Pikeun nyingkahan positip palsu, ngan ukur jinis token anu dijamin anu dipariksa, ngalangkungan langkung ti 100 jasa anu béda, kalebet Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems, sareng Yandex.Cloud. Salaku tambahan, ngirim panggeuing nalika sertipikat sareng konci anu ditandatanganan nyalira dideteksi dirojong.
Dina Januari, percobaan nganalisa 14 repositori nganggo GitHub Actions. Hasilna, dina 1110 repositories (7.9%, nyaéta ampir unggal twelfth) ayana data rusiah kaungkap. Salaku conto, 692 token GitHub App, 155 Azure Storage keys, 155 GitHub Personal tokens, 120 Amazon AWS keys, sareng 50 Google API keys parantos diidentifikasi dina repositori.
sumber: opennet.ru