GitHub открыл полный доступ к бесплатному сервису проверки публичных репозиториев на наличие «утечек» данных Статьи редакции
Вроде паролей, ключей и токенов аутентификации.
- GitHub завершил бета-тестирование своего сканера «секретных данных». Первая версия общедоступного сервиса вышла в середине декабря 2022 года, но разработчики получали её постепенно. До этого пользоваться им могли только владельцы лицензии на продукт GitHub Advanced Security, работающие в облаке GitHub Enterprise Cloud.
- Теперь бесплатная проверка публичных репозиториев доступна всем разработчикам. Она поможет убедиться, что в коде, его описаниях, сведениях об ошибках, а также комментариях нет «секретов»: учётных данных, нужных для подключения к корпоративной инфраструктуре, приватных ключей, сертификатов и токенов API.
- Чтобы запустить сканер, администратор репозитория должен зайти в «Настройки», слева выбрать раздел «Безопасность и анализ кода» и в нём нажать «Сканирование секретов» и «Разрешить». Подробнее о функции можно прочитать в документации GitHub.
- По данным компании, после начала бета-тестирования сервис проверил около 70 тысяч публичных репозиториев. Так, в одном из примеров айтишник просканировал 14 тысяч своих хранилищ и обнаружил там более 1000 «секретов». За весь 2022 год GitHub зафиксировала наличие более 1,7 млн конфиденциальных данных в открытом коде.
5.7K
показов
3.8K
открытий
2
репоста
Проверяет-проверяет и ... передаёт? Или складирует и только потом передаёт?
писал коммент "Извините, я здесь только, чтобы обогнать Вадима".
Но не успел)
Саша, ты на кого руку поднял, на Вадима? Он первый комментарий пишет раньше, чем редактор новость.
Они написаны заранее, просто сопоставляю какой коммент к какой новости и расставляю их.
Вот еще одно доказательство, что ты - нейросеть )
но вы с такими выражениями по осторожнее, тут так не принято)
Да что эта нейросеть мне сделает, я в другом городе.
Комментарий недоступен
Комментарий недоступен
Саша явно не понял, какую ошибку совершил.
🤷🏻♂️ Вы из этих, обгоняльщиков?!
Комментарий удален модератором
Вадима не так уж просто обогнать
его не обогнать, он не победим
Сканер находит ключи/токены в коде, по формату ключа пытается определить к какому сервису относится этот токен, затем Гитхаб отправляет этот ключ к своим партнерам, а партнеры сообщают Гитхабу, их ли это ключ и актуальный ли он. Потом Гитхаб уведомляет владельца репозитория о том, что у него в коде нашли ключ. Партнеры — это сервисы, которые выпустили этот самый ключ, например, если в коде нашли ключ от AWS API, то Гитхаб этот ключ отправит в AWS на проверку. То есть сторонним компаниям ключи не передают, разумеется.
Благодарю 🤝🏻
Ну +1 раз сохранят ваш "секретный" ключ не так и важно, важно, что 1000 других сканеров вас не уведомят, что вас секрет больше не секрет.
Комментарий недоступен
собирает все, чтоб потом слить один раз, и штраф будет один. профит
Ты сраная нейросеть.
Яндекс.Утечки
ууу сканирование секретов)звучит по шпионски)
звучит на не понятном))
да вроде понятно звучит
более 1,7 млн конфиденциальных данных в открытом коде,ну ничего себе показатели
Годнота.
Можно включить сразу для всех публичных репозиториев
https://github.com/settings/security_analysis
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
аргументированный ответ, но вы то не новорег))
Комментарий недоступен