GitHub đã công bố giới thiệu dịch vụ miễn phí để theo dõi việc vô tình xuất bản dữ liệu nhạy cảm trong kho lưu trữ, chẳng hạn như khóa mã hóa, mật khẩu DBMS và mã thông báo truy cập API. Trước đây, dịch vụ này chỉ dành cho những người tham gia chương trình thử nghiệm beta, nhưng giờ đây nó đã bắt đầu được cung cấp không hạn chế cho tất cả các kho lưu trữ công khai. Để cho phép quét kho lưu trữ của bạn, trong cài đặt ở phần “Phân tích và bảo mật mã”, bạn nên kích hoạt tùy chọn “Quét bí mật”.
Tổng cộng, hơn 200 mẫu đã được triển khai để xác định các loại khóa, mã thông báo, chứng chỉ và thông tin xác thực khác nhau. Việc tìm kiếm rò rỉ không chỉ được thực hiện trong mã mà còn trong các vấn đề, mô tả và nhận xét. Để loại bỏ các kết quả dương tính giả, chỉ các loại mã thông báo được đảm bảo mới được kiểm tra, bao gồm hơn 100 dịch vụ khác nhau, bao gồm Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems và Yandex.Cloud. Ngoài ra, nó hỗ trợ gửi cảnh báo khi phát hiện thấy khóa và chứng chỉ tự ký.
Vào tháng 14, thử nghiệm đã phân tích 1110 nghìn kho lưu trữ bằng GitHub Actions. Kết quả là, sự hiện diện của dữ liệu bí mật đã được phát hiện trong 7.9 kho lưu trữ (692%, tức là gần như mọi thứ mười hai). Ví dụ: 155 mã thông báo Ứng dụng GitHub, 155 khóa Lưu trữ Azure, 120 mã thông báo cá nhân GitHub, 50 khóa Amazon AWS và XNUMX khóa Google API đã được xác định trong kho lưu trữ.
Nguồn: opennet.ru