GitHub внедряет поддержку бесплатного сканирования открытых секретов, таких как учётные данные и токены аутентификации, во всех общедоступных репозиториях.
![](https://habrastorage.org/getpro/habr/upload_files/1df/2c8/54f/1df2c854f09125bb011b080330dd9ab9.jpg)
Ранее этот параметр безопасности включали для дополнительного сканирования, чтобы обнаружить случайное раскрытие известных типов секретов. Оно работает путём сопоставления шаблонов, предоставленных партнёрами, поставщиками услуг или организациями. О каждом совпадении сообщается на вкладке «Безопасность» репозитория. Служба секретного сканирования была доступна только организациям, использующим GitHub Enterprise Cloud с лицензией GitHub Advanced Security.
GitHub сканирует репозитории на наличие более 200 форматов токенов (включая ключи API, токены аутентификации, токены доступа, сертификаты управления, учётные данные, закрытые и секретные ключи и многое другое).
Только с начала этого года платформа выпустила более 1,7 млн предупреждений о потенциальных секретах, раскрытых в общедоступных репозиториях.
Теперь представители GitHub заявили, что начинают постепенное общедоступное развёртывание сканирования всех общедоступных репозиториев в бета-режиме. Эта функция станет общедоступной к концу января 2023 года.
GitHub будет автоматически уведомлять разработчиков об утечке секретов в коде, что позволит организациям легко отслеживать оповещения, идентифицировать источник утечки и быстро принимать меры для предотвращения мошеннического использования этой информации.
Чтобы включить оповещения о секретном сканировании, требуется:
перейти на главную страницу репозитория;
нажать кнопку «Настройки»;
в разделе «Безопасность» на боковой панели выбрать «Безопасность и анализ кода»;
в нижней части страницы нажать «Включить» для сканирования секретов.
В апреле GitHub расширил возможности сканирования секретов для клиентов GitHub Advanced Security, чтобы автоматически блокировать такую информацию и предотвращать случайное раскрытие.
Также платформа объявила, что к концу 2023 года потребует от всех пользователей, добавляющих код на платформу, включить двухфакторную аутентификацию в качестве дополнительной меры защиты своих учётных записей.