Функция сканирования токенов на GitHub, которая находит криптографические секреты в коде до того, как хакеры получат к ним доступ и будет их использовать, с сегодняшнего дня GitHub будет искать токены, совместимые с Dropbox, Discord, Atlassian, Proctorio и Pulumi, то есть с новыми партнерами Githuba, с которыми будет работать веб-сайт.
Токены - это уникальные ключи, которые аутентифицируют пользователей для различных сервисов. Сканирование токенов предназначено для защиты их от случайной утечки. Целью сканирования токенов является защита неосведомленных и невнимательных пользователей от случайного раскрытия токенов и блокирование доступа посторонних лиц, которые могут использовать токены в злых целях. В случае обнаружения определенного формата токена, владелец хранилища будет проинформирован и сможет быстро вмешаться.
Однако сканирование токенов имеет уязвимость, а именно использует только определенные форматы. До добавления вышеупомянутых партнеров список признанных форматов был значительно короче. Это не помешало GitHub обнаружить более миллиарда токенов. Однако это не было универсальным решением. В настоящее время с такими партнерами, как Dropbox, Discord, Atlassian, Proctorio и Pulumi, программа сможет развиваться с новыми расширениями.
На данный момент GitHub уже нашел токены таких партнеров, как Alibaba Cloud, AWS, Azure, Google Cloud, Mailgun, npm, Slack, Stripe и Twilio. Каждый партнер внесет свой вклад в символическую «базу знаний», чтобы обеспечить безопасность хранилищ.
Мы добавим, что эффективная практика заключается в том, чтобы избегать добавления каких-либо конфиденциальных данных, данных для входа в систему, токенов и криптографических секретов в репозитории.
