GitHub 宣布推出一項免費服務,用於追蹤儲存庫中敏感資料的意外發布,例如加密金鑰、DBMS 密碼和 API 存取權杖。 此前,這項服務僅向 Beta 測試計劃的參與者提供,但現在已開始向所有公共儲存庫無限制地提供。 若要啟用儲存庫掃描,請在「程式碼安全性和分析」部分的設定中啟動「秘密掃描」選項。
總共實施了 200 多個範本來識別不同類型的金鑰、令牌、憑證和憑證。 尋找洩漏不僅在程式碼中進行,還可以在問題、描述和註釋中進行。 為了消除誤報,僅檢查有保證的代幣類型,涵蓋 100 多種不同的服務,包括 Amazon Web Services、Azure、Crates.io、DigitalOcean、Google Cloud、NPM、PyPI、RubyGems 和 Yandex.Cloud。 此外,它還支援在偵測到自簽名憑證和金鑰時發送警報。
一月份,實驗使用 GitHub Actions 分析了 14 個儲存庫。 結果,在 1110 個儲存庫中偵測到了秘密資料的存在(7.9%,即幾乎每十二個)。 例如,在儲存庫中識別出 692 個 GitHub 應用程式令牌、155 個 Azure 儲存金鑰、155 個 GitHub 個人令牌、120 個 Amazon AWS 金鑰和 50 個 Google API 金鑰。
來源: opennet.ru