GitHub 宣布,它已加强对开发人员无意中留在代码中的敏感数据的保护,以免其进入其存储库。 例如,带有 DBMS 密码、令牌或 API 访问密钥的配置文件最终会出现在存储库中。 以前,扫描是在被动模式下进行的,可以识别已经发生并包含在存储库中的泄漏。 为了防止泄露,GitHub 还开始提供一个选项来自动阻止包含敏感数据的提交。
该检查是在 git Push 期间执行的,如果在代码中检测到用于连接到标准 API 的令牌,则会生成安全警告。 总共实施了 69 个模板来识别不同类型的密钥、令牌、证书和凭证。 为了消除误报,仅检查有保证的令牌类型。 在一个块之后,开发人员被要求检查有问题的代码,修复泄漏,并重新提交或将该块标记为 false。
主动阻止泄漏的选项目前仅适用于有权访问 GitHub 高级安全服务的组织。 被动模式扫描对所有公共存储库都是免费的,但对私有存储库仍需付费。 据悉,被动扫描已发现私人存储库中超过700万条机密数据泄露。
来源: opennet.ru