GitHub начнет проверять наличие секретных данных во всех репозиториях

Каждый разработчик знает, что прописывать учетные данные в исходный код — плохая идея. Тем не менее, это происходит, и когда это происходит, последствия могут быть ужасными. До сих пор GitHub предоставлял свою службу поиска учетных записей только платным корпоративным пользователям, которые заплатили за GitHub Advanced Security, но с сегодняшнего дня компания, принадлежащая Microsoft, делает свою службу сканирования доступной для всех общедоступных репозиториев GitHub бесплатно.

Только в 2022 году компания уведомила партнеров по своей партнерской программе сканирования секретов о более чем 1.7 миллиона потенциальных секретов, которые были раскрыты в общедоступных репозиториях. Сервис сканирует репозитории на наличие более 200 известных форматов токенов, а затем предупреждает партнеров о потенциальных утечках. Разработчики также могут определить свои собственные шаблоны регулярных выражений.

«С помощью сканирования секретов мы обнаружили массу важных вещей, которые нужно решить», — сказал Дэвид Росс, инженер по безопасности в Postmates. «На стороне  AppSec, для нас часто это лучший способ получить представление о проблемах в коде».

Теперь, если вы разместите свой код на GitHub, компания автоматически уведомит вас об утечке секретных данных в вашем исходном коде. Чтобы начать использовать сервис, вы должны включить эту функцию в настройках безопасности GitHub. Однако развертывание сервиса будет постепенным и он станет доступным для всех пользователей в конце января 2023 года.

Собственный инструмент GitHub, конечно, не единственный сервис, который может сканировать утечку учетных данных. Существуют также инструменты с открытым исходным кодом, такие как Gitleaks (которые могут интегрироваться с GitHub Actions) и множество компаний по обеспечению безопасности, таких как Nightfall и Spectral от CheckPoint, хотя их услуги, как правило, выходят далеко за рамки сканирования и, как правило, ориентированы на компании.