GitHub 宣布推出一项免费服务,用于跟踪存储库中敏感数据的意外发布,例如加密密钥、DBMS 密码和 API 访问令牌。 此前,这项服务仅向 Beta 测试计划的参与者提供,但现在已开始向所有公共存储库无限制地提供。 要启用存储库扫描,请在“代码安全和分析”部分的设置中激活“秘密扫描”选项。
总共实施了 200 多个模板来识别不同类型的密钥、令牌、证书和凭据。 查找泄漏不仅在代码中进行,还可以在问题、描述和注释中进行。 为了消除误报,仅检查有保证的令牌类型,涵盖 100 多种不同的服务,包括 Amazon Web Services、Azure、Crates.io、DigitalOcean、Google Cloud、NPM、PyPI、RubyGems 和 Yandex.Cloud。 此外,它还支持在检测到自签名证书和密钥时发送警报。
一月份,该实验使用 GitHub Actions 分析了 14 个存储库。 结果,在 1110 个存储库中检测到了秘密数据的存在(7.9%,即几乎每十二个)。 例如,在存储库中识别出 692 个 GitHub 应用程序令牌、155 个 Azure 存储密钥、155 个 GitHub 个人令牌、120 个 Amazon AWS 密钥和 50 个 Google API 密钥。
来源: opennet.ru