GitHub ประกาศเปิดตัวบริการฟรีเพื่อติดตามการเผยแพร่ข้อมูลที่ละเอียดอ่อนโดยไม่ตั้งใจในพื้นที่เก็บข้อมูล เช่น คีย์การเข้ารหัส รหัสผ่าน DBMS และโทเค็นการเข้าถึง API ก่อนหน้านี้ บริการนี้มีให้เฉพาะผู้เข้าร่วมโปรแกรมทดสอบเบต้าเท่านั้น แต่ตอนนี้เริ่มให้บริการได้โดยไม่มีข้อจำกัดสำหรับที่เก็บข้อมูลสาธารณะทั้งหมด หากต้องการเปิดใช้งานการสแกนพื้นที่เก็บข้อมูลของคุณ ในการตั้งค่าในส่วน "ความปลอดภัยและการวิเคราะห์โค้ด" คุณควรเปิดใช้งานตัวเลือก "การสแกนความลับ"
โดยรวมแล้วมีการใช้เทมเพลตมากกว่า 200 รายการเพื่อระบุคีย์ โทเค็น ใบรับรอง และข้อมูลประจำตัวประเภทต่างๆ การค้นหารอยรั่วนั้นไม่เพียงดำเนินการในโค้ดเท่านั้น แต่ยังรวมถึงประเด็น คำอธิบาย และความคิดเห็นด้วย เพื่อกำจัดผลบวกลวง จะมีการตรวจสอบเฉพาะประเภทโทเค็นที่รับประกัน ซึ่งครอบคลุมบริการต่างๆ มากกว่า 100 รายการ รวมถึง Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems และ Yandex.Cloud นอกจากนี้ยังรองรับการส่งการแจ้งเตือนเมื่อตรวจพบใบรับรองและคีย์ที่ลงนามด้วยตนเอง
ในเดือนมกราคม การทดลองได้วิเคราะห์ที่เก็บข้อมูล 14 แห่งโดยใช้ GitHub Actions เป็นผลให้ตรวจพบข้อมูลลับในที่เก็บข้อมูล 1110 แห่ง (7.9% นั่นคือเกือบทุกที่สิบสอง) ตัวอย่างเช่น มีการระบุโทเค็นแอป GitHub 692 รายการ, คีย์ Azure Storage 155 รายการ, โทเค็นส่วนบุคคล GitHub 155 รายการ, คีย์ Amazon AWS 120 รายการ และคีย์ Google API 50 รายการในที่เก็บ
ที่มา: opennet.ru