GitHub, şifreleme anahtarları, DBMS şifreleri ve API erişim belirteçleri gibi hassas verilerin depolarda yanlışlıkla yayınlanmasını izlemeye yönelik ücretsiz bir hizmetin tanıtıldığını duyurdu. Daha önce bu hizmet yalnızca beta test programına katılanların kullanımına açıktı, ancak artık tüm halka açık depolara kısıtlama olmaksızın sunulmaya başlandı. Deponuzun taranmasını etkinleştirmek için “Kod güvenliği ve analizi” bölümündeki ayarlarda “Gizli tarama” seçeneğini aktif hale getirmelisiniz.
Toplamda, farklı türdeki anahtarları, belirteçleri, sertifikaları ve kimlik bilgilerini tanımlamak için 200'den fazla şablon uygulandı. Sızıntı araması sadece kodda değil aynı zamanda konularda, açıklamalarda ve yorumlarda da yapılıyor. Yanlış pozitifleri ortadan kaldırmak için Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems ve Yandex.Cloud dahil 100'den fazla farklı hizmeti kapsayan yalnızca garantili token türleri kontrol edilir. Ayrıca, kendinden imzalı sertifikalar ve anahtarlar algılandığında uyarı gönderilmesini destekler.
Ocak ayında yapılan deneyde GitHub Actions kullanılarak 14 bin veri havuzu analiz edildi. Sonuç olarak, 1110 veri deposunda (%7.9, yani neredeyse her on ikide bir) gizli verilerin varlığı tespit edildi. Örneğin, depolarda 692 GitHub Uygulama belirteci, 155 Azure Depolama anahtarı, 155 GitHub Kişisel belirteci, 120 Amazon AWS anahtarı ve 50 Google API anahtarı tanımlandı.
Kaynak: opennet.ru
