GitHub объявил о введении в строй бесплатного сервиса по отслеживанию случайной публикации в репозиториях конфиденциальных данных, таких как ключи шифрования, пароли к СУБД и токены доступа к API. Ранее данный сервис был доступен только участникам программы бета-тестирования, а теперь начал предоставляться без ограничений всем публичным репозиториям. Для включения проверки своего репозитория в настройках в секции “Code security and analysis” следует активировать опцию “Secret scanning”.
Всего реализовано более 200 шаблонов для выявления различных видов ключей, токенов, сертификатов и учётных данных. Поиск утечек осуществляется не только в коде, но и в issue, описаниях и комментариях. Для исключения ложных срабатываний проверяются только гарантированно определяемые типы токенов, охватывающие более 100 различных сервисов, включая Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems и Yandex.Cloud. Дополнительно поддерживается отправка предупреждений при выявлении самоподписанных сертификатов и ключей.
В январе в ходе эксперимента проанализировано 14 тысяч репозиториев на GitHub. В итоге в 1110 репозиториях (7.9%, т.е. почти в каждом двенадцатом) выявлено наличие секретных данных. Например, в репозиториях выявлено 692 тоекенов GitHub App, 155 ключей
Azure Storage, 155 токенов GitHub Personal, 120 ключей
Amazon AWS и 50 ключей Google API.