GitHub shifrlash kalitlari, DBMS parollari va API kirish tokenlari kabi maxfiy maʼlumotlarning omborlarda tasodifiy eʼlon qilinishini kuzatish uchun bepul xizmat joriy etilishini eʼlon qildi. Ilgari ushbu xizmat faqat beta-test dasturi ishtirokchilari uchun mavjud bo‘lgan bo‘lsa, endi u barcha ommaviy omborlarga cheklovsiz taqdim etila boshlandi. Omboringizni skanerlashni yoqish uchun "Kod xavfsizligi va tahlili" bo'limidagi sozlamalarda "Maxfiy skanerlash" opsiyasini faollashtirishingiz kerak.
Har xil turdagi kalitlar, tokenlar, sertifikatlar va hisobga olish maʼlumotlarini aniqlash uchun jami 200 dan ortiq shablonlar joriy qilingan. Oqishlarni qidirish nafaqat kodda, balki masalalar, tavsiflar va sharhlarda ham amalga oshiriladi. Noto'g'ri pozitivlarni bartaraf etish uchun Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems va Yandex.Cloud kabi 100 dan ortiq turli xizmatlarni o'z ichiga olgan faqat kafolatlangan token turlari tekshiriladi. Bundan tashqari, u o'z-o'zidan imzolangan sertifikatlar va kalitlar aniqlanganda ogohlantirishlarni yuborishni qo'llab-quvvatlaydi.
Yanvar oyida eksperiment GitHub Actions yordamida 14 ming omborni tahlil qildi. Natijada, 1110 ta omborda (7.9%, ya'ni deyarli har o'n ikkinchi) maxfiy ma'lumotlar mavjudligi aniqlandi. Masalan, omborlarda 692 ta GitHub App tokenlari, 155 ta Azure Storage kalitlari, 155 ta GitHub Personal tokenlari, 120 ta Amazon AWS kalitlari va 50 ta Google API kalitlari aniqlangan.
Manba: opennet.ru