Крупнейший веб-сервис для хостинга IT-проектов GitHub сделал общедоступной функцию «секретного сканирования», доступную ранее только корпоративным пользователям с платной подпиской GitHub Advanced Security. Это поможет многим разработчикам повысить безопасность их проектов.
Несмотря на многочисленные рекомендации и предостережения, некоторые разработчики всё же внедряют в исходный код своих проектов критические данные, связанные с безопасностью, что нередко влечёт за собой утечки информации. Для борьбы с этим на GitHub внедрён специальный сервис отслеживания потенциально опасных «секретов», которые не стоит раскрывать общественности. До сих пор он был доступен только в рамках платной подписки, но теперь сканирование работает бесплатно для всех общедоступных репозиториев.
По имеющимся данным, за 2022 год GitHub уведомила партнёров о выявлении более чем 1,7 миллиона потенциальных «секретов», которые были раскрыты в общедоступных репозиториях. Для этого сервис проверяет репозитории на наличие более 200 известных форматов токенов, предупреждая авторов о потенциальной опасности.
После активации функции сканирования в настройках безопасности GitHub система автоматически уведомит авторов о наличии потенциальных утечек в загруженном коде. Отмечается, что развёртывание функции будет проходить постепенно, но все пользователи должны получить её до конца января 2023 года.