GitHub оголосив про введення в дію безкоштовного сервісу з відстеження випадкової публікації в репозиторіях конфіденційних даних, таких як ключі шифрування, паролі до СУБД та токени доступу до API. Раніше цей сервіс був доступний лише учасникам програми бета-тестування, а тепер почав надаватися без обмежень усім публічним репозиторіям. Для включення перевірки свого репозиторію в налаштуваннях у секції Code security and analysis слід активувати опцію Secret scanning.
Усього реалізовано понад 200 шаблонів для виявлення різних видів ключів, токенів, сертифікатів та облікових даних. Пошук витоків здійснюється не тільки в коді, але й увикористанні, описах і коментарях. Для виключення помилкових спрацьовувань перевіряються тільки типи токенів, що гарантовано визначаються, що охоплюють понад 100 різних сервісів, включаючи Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems і Yandex.Cloud. Додатково підтримується надсилання попереджень під час виявлення самопідписаних сертифікатів та ключів.
У січні під час експерименту проаналізовано 14 тисяч репозиторіїв, які використовують GitHub Actions. У результаті 1110 репозиторіях (7.9%, тобто. майже кожному дванадцятому) виявлено наявність секретних даних. Наприклад, у репозиторіях виявлено 692 токенів GitHub App, 155 ключів Azure Storage, 155 токенів GitHub Personal, 120 ключів Amazon AWS та 50 ключів Google API.
Джерело: opennet.ru