GitHub tillkännagav introduktionen av en gratistjänst för att spåra oavsiktlig publicering av känslig data i arkiv, såsom krypteringsnycklar, DBMS-lösenord och API-åtkomsttokens. Tidigare var den här tjänsten endast tillgänglig för deltagare i betatestprogrammet, men nu har den börjat tillhandahållas utan begränsningar till alla offentliga arkiv. För att aktivera genomsökning av ditt förråd, i inställningarna i avsnittet "Kodsäkerhet och analys", bör du aktivera alternativet "Hemlig skanning".
Totalt har mer än 200 mallar implementerats för att identifiera olika typer av nycklar, tokens, certifikat och referenser. Sökandet efter läckor utförs inte bara i koden, utan också i frågor, beskrivningar och kommentarer. För att eliminera falska positiva resultat kontrolleras endast garanterade tokentyper, som täcker mer än 100 olika tjänster, inklusive Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems och Yandex.Cloud. Dessutom stöder det att skicka varningar när självsignerade certifikat och nycklar upptäcks.
I januari analyserade experimentet 14 tusen repositories med hjälp av GitHub Actions. Som ett resultat upptäcktes förekomsten av hemliga data i 1110 förråd (7.9 %, dvs nästan var tolfte). Till exempel identifierades 692 GitHub App-tokens, 155 Azure Storage-nycklar, 155 GitHub Personal-tokens, 120 Amazon AWS-nycklar och 50 Google API-nycklar i arkiven.
Källa: opennet.ru