The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

GitHub реализовал проверку утечки конфиденциальных данных в репозиториях

28.02.2023 23:01

GitHub объявил о введении в строй бесплатного сервиса по отслеживанию случайной публикации в репозиториях конфиденциальных данных, таких как ключи шифрования, пароли к СУБД и токены доступа к API. Ранее данный сервис был доступен только участникам программы бета-тестирования, а теперь начал предоставляться без ограничений всем публичным репозиториям. Для включения проверки своего репозитория в настройках в секции "Code security and analysis" следует активировать опцию "Secret scanning".

Всего реализовано более 200 шаблонов для выявления различных видов ключей, токенов, сертификатов и учётных данных. Поиск утечек осуществляется не только в коде, но и в issue, описаниях и комментариях. Для исключения ложных срабатываний проверяются только гарантированно определяемые типы токенов, охватывающие более 100 различных сервисов, включая Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems и Yandex.Cloud. Дополнительно поддерживается отправка предупреждений при выявлении самоподписанных сертификатов и ключей.

В январе в ходе эксперимента проанализировано 14 тысяч репозиториев, использующих GitHub Actions. В итоге в 1110 репозиториях (7.9%, т.е. почти в каждом двенадцатом) выявлено наличие секретных данных. Например, в репозиториях выявлено 692 токенов GitHub App, 155 ключей Azure Storage, 155 токенов GitHub Personal, 120 ключей Amazon AWS и 50 ключей Google API.

  1. Главная ссылка к новости (https://github.blog/2023-02-28...)
  2. OpenNews: GitHub реализовал возможность упреждающей блокировки утечек токенов к API
  3. OpenNews: В ходе атаки на GitHub захвачены ключи для подписи приложений GitHub Desktop и Atom
  4. OpenNews: Сбои в системах сборки из-за изменения контрольных сумм архивов в GitHub
  5. OpenNews: Увольнение части сотрудников GitHub и GitLab
  6. OpenNews: GitHub опубликовал отчёт о блокировках в 2022 году
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58725-github
Ключевые слова: github
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, 11 (?), 23:30, 28/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    >>  В итоге в 1110 репозиториях

    Кто все эти лохи? ))

     
     
  • 2.4, анон748 (?), 00:23, 01/03/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так-то Чëто маловато
     
  • 2.13, Аноним (13), 08:58, 01/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мы например, а чо? Если паразитарий не публичный, то почему бы там не хранить токены для дев-окружения, например.
     
     
  • 3.15, Аноним (15), 09:42, 01/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Потому что майки сказали нельзя. И ходить не строем нельзя. И отдавать честь сотрудникам майков обязательно.
     
  • 3.17, pashev.ru (?), 09:45, 01/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Git-crypt
     
  • 3.18, Ph0zzy (ok), 10:03, 01/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    То что репозиторий приватный, не означает, что данные хранятся безопасно в зашифрованном виде, и что никто левый не имеет к ним доступа.
     
     
  • 4.22, BilliboyEvilovich (?), 11:21, 01/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > левый
    > Github

    лол

     
  • 3.20, Аноним (20), 10:34, 01/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    SOPS, видимо, не осилили (или даже не искали).
     
  • 3.21, Аноним (20), 10:39, 01/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Люди сами отдают свои секреты MicroSoft и гордятся этим... БДСМ какой-то.
     

  • 1.9, Аноним (9), 05:55, 01/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    - У меня офигенный пароль, его даже гугл не знает. Я проверил!
    - Теперь знает...
     
     
  • 2.25, YetAnotherOnanym (ok), 16:36, 01/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Хэш моего пароля? Да на здоровье.
     
     
  • 3.27, Аноним (27), 12:09, 02/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так у них же квантовый компьютер
     

  • 1.24, YetAnotherOnanym (ok), 16:35, 01/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > более 200 шаблонов для выявления различных видов

    И всю ту груду субстанции, которая лежит на гитхабе, надо прогонять через сопоставление с этими шаблонами.

     
  • 1.28, Вы забыли заполнить поле Name (?), 23:23, 02/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Там скорее всего какие-то левые репозитории аля стартер-кит для сервиса с тестовым токеном.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру