GitHub объявил о введении в строй бесплатного сервиса по отслеживанию случайной публикации в репозиториях конфиденциальных данных, таких как ключи шифрования, пароли к СУБД и токены доступа к API. Ранее данный сервис был доступен только участникам программы бета-тестирования, а теперь начал предоставляться без ограничений всем публичным репозиториям. Для включения проверки своего репозитория в настройках в секции "Code security and analysis" следует активировать опцию "Secret scanning"...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58725
>> В итоге в 1110 репозиторияхКто все эти лохи? ))
Так-то Чëто маловато
Мы например, а чо? Если паразитарий не публичный, то почему бы там не хранить токены для дев-окружения, например.
Потому что майки сказали нельзя. И ходить не строем нельзя. И отдавать честь сотрудникам майков обязательно.
Git-crypt
То что репозиторий приватный, не означает, что данные хранятся безопасно в зашифрованном виде, и что никто левый не имеет к ним доступа.
> левый
> Githubлол
SOPS, видимо, не осилили (или даже не искали).
Люди сами отдают свои секреты MicroSoft и гордятся этим... БДСМ какой-то.
- У меня офигенный пароль, его даже гугл не знает. Я проверил!
- Теперь знает...
Хэш моего пароля? Да на здоровье.
Так у них же квантовый компьютер
> более 200 шаблонов для выявления различных видовИ всю ту груду субстанции, которая лежит на гитхабе, надо прогонять через сопоставление с этими шаблонами.
Там скорее всего какие-то левые репозитории аля стартер-кит для сервиса с тестовым токеном.