GitHub открыл полный доступ к бесплатному сервису проверки публичных репозиториев на наличие «утечек» данных
Вроде паролей, ключей и токенов аутентификации.
- GitHub завершил бета-тестирование своего сканера «секретных данных». Первая версия общедоступного сервиса вышла в середине декабря 2022 года, но разработчики получали её постепенно. До этого пользоваться им могли только владельцы лицензии на продукт GitHub Advanced Security, работающие в облаке GitHub Enterprise Cloud.
- Теперь бесплатная проверка публичных репозиториев доступна всем разработчикам. Она поможет убедиться, что в коде, его описаниях, сведениях об ошибках, а также комментариях нет «секретов»: учётных данных, нужных для подключения к корпоративной инфраструктуре, приватных ключей, сертификатов и токенов API.
- Чтобы запустить сканер, администратор репозитория должен зайти в «Настройки», слева выбрать раздел «Безопасность и анализ кода» и в нём нажать «Сканирование секретов» и «Разрешить». Подробнее о функции можно прочитать в документации GitHub.
- По данным компании, после начала бета-тестирования сервис проверил около 70 тысяч публичных репозиториев. Так, в одном из примеров айтишник просканировал 14 тысяч своих хранилищ и обнаружил там более 1000 «секретов». За весь 2022 год GitHub зафиксировала наличие более 1,7 млн конфиденциальных данных в открытом коде.
Проверяет-проверяет и ... передаёт? Или складирует и только потом передаёт?
писал коммент "Извините, я здесь только, чтобы обогнать Вадима".
Но не успел)
Сканер находит ключи/токены в коде, по формату ключа пытается определить к какому сервису относится этот токен, затем Гитхаб отправляет этот ключ к своим партнерам, а партнеры сообщают Гитхабу, их ли это ключ и актуальный ли он. Потом Гитхаб уведомляет владельца репозитория о том, что у него в коде нашли ключ. Партнеры — это сервисы, которые выпустили этот самый ключ, например, если в коде нашли ключ от AWS API, то Гитхаб этот ключ отправит в AWS на проверку. То есть сторонним компаниям ключи не передают, разумеется.
Ну +1 раз сохранят ваш "секретный" ключ не так и важно, важно, что 1000 других сканеров вас не уведомят, что вас секрет больше не секрет.
собирает все, чтоб потом слить один раз, и штраф будет один. профит
Ты сраная нейросеть.
Яндекс.Утечки