GitHub открыл доступ всем пользователям к сервису по проверке публичных репозиториев на утечку конфиденциальных данных, включая секретные ключи, пароли и токены доступа к API.
Доступ к этому сервису ранее предоставлялся участникам программы бета-тестирования GitHub. Теперь платформа открыла сервис для всех разработчиков без ограничений для анализа своих публичных репозиториев.
Для включения проверки своего репозитория необходимо в настройках GitHub в секции Code security and analysis активировать опцию Secret scanning.
На данных момент GitHub реализовал более 200 шаблонов для выявления различных видов ключей, токенов, сертификатов и учётных данных. Поиск утечек конфиденциальной информации осуществляется не только в коде, но и в issue, описаниях и комментариях.
Для исключения ложных срабатываний сервиса GitHub проверяет только гарантированно определяемые типы токенов, охватывающие более 100 различных сервисов, включая Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems и Yandex.Cloud. В новом сервисе также поддерживается отправка предупреждений при выявлении самоподписанных сертификатов и ключей.
14 февраля GitHub обновил свою модель искусственного интеллекта Copilot, которая генерирует исходный код и рекомендации по функциям в реальном времени в Visual Studio. Copilot может генерировать секретные ключи и токены в обучающих данных, но теперь их нельзя использовать из-за новой системы фильтрации.
