GitHub نے ریپوزٹریز میں حساس ڈیٹا کی حادثاتی اشاعت کو ٹریک کرنے کے لیے ایک مفت سروس متعارف کرانے کا اعلان کیا، جیسے کہ خفیہ کاری کیز، DBMS پاس ورڈز اور API رسائی ٹوکن۔ پہلے، یہ سروس صرف بیٹا ٹیسٹنگ پروگرام میں حصہ لینے والوں کے لیے دستیاب تھی، لیکن اب یہ تمام عوامی ذخیروں کو بغیر کسی پابندی کے فراہم کی جانے لگی ہے۔ اپنے ریپوزٹری کی سکیننگ کو فعال کرنے کے لیے، "کوڈ سیکیورٹی اور تجزیہ" سیکشن میں سیٹنگز میں، آپ کو "خفیہ سکیننگ" آپشن کو چالو کرنا چاہیے۔
مجموعی طور پر، مختلف قسم کی چابیاں، ٹوکن، سرٹیفکیٹس اور اسناد کی شناخت کے لیے 200 سے زیادہ ٹیمپلیٹس کو لاگو کیا گیا ہے۔ لیک کی تلاش نہ صرف کوڈ میں بلکہ مسائل، وضاحتوں اور تبصروں میں بھی کی جاتی ہے۔ غلط مثبتات کو ختم کرنے کے لیے، صرف گارنٹی شدہ ٹوکن کی اقسام کی جانچ کی جاتی ہے، جس میں 100 سے زیادہ مختلف سروسز شامل ہیں، بشمول Amazon Web Services، Azure، Crates.io، DigitalOcean، Google Cloud، NPM، PyPI، RubyGems اور Yandex.Cloud۔ مزید برآں، جب خود دستخط شدہ سرٹیفکیٹس اور کلیدوں کا پتہ چل جاتا ہے تو یہ الرٹس بھیجنے کی حمایت کرتا ہے۔
جنوری میں، تجربے نے GitHub ایکشنز کا استعمال کرتے ہوئے 14 ہزار ذخیروں کا تجزیہ کیا۔ نتیجتاً، 1110 ذخیروں (7.9%، یعنی تقریباً ہر بارہویں) میں خفیہ ڈیٹا کی موجودگی کا پتہ چلا۔ مثال کے طور پر، 692 GitHub App ٹوکنز، 155 Azure Storage کیز، 155 GitHub پرسنل ٹوکنز، 120 Amazon AWS کیز، اور 50 Google API کیز کو ذخیروں میں شناخت کیا گیا تھا۔
ماخذ: opennet.ru