На GitHub теперь можно проверить публичные репозитории на секретные ключи, пароли и токены

GitHub открыл доступ всем пользователям к сервису по проверке публичных репозиториев на утечку конфиденциальных данных, включая секретные ключи, пароли и токены доступа к API.

Доступ к этому сервису ранее предоставлялся участникам программы бета-тестирования GitHub. Теперь платформа открыла сервис для всех разработчиков без ограничений для анализа своих публичных репозиториев.

Для включения проверки своего репозитория необходимо в настройках GitHub в секции Code security and analysis активировать опцию Secret scanning.

На данных момент GitHub реализовал более 200 шаблонов для выявления различных видов ключей, токенов, сертификатов и учётных данных. Поиск утечек конфиденциальной информации осуществляется не только в коде, но и в issue, описаниях и комментариях.

Для исключения ложных срабатываний сервиса GitHub проверяет только гарантированно определяемые типы токенов, охватывающие более 100 различных сервисов, включая Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems и Yandex.Cloud. В новом сервисе также поддерживается отправка предупреждений при выявлении самоподписанных сертификатов и ключей.

GitHub