GitHub реализовал проверку утечки конфиденциальных данных в репозиториях
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
GitHub объявил о введении в строй бесплатного сервиса по отслеживанию случайной публикации в репозиториях конфиденциальных данных, таких как ключи шифрования, пароли к СУБД и токены доступа к API. Ранее данный сервис был доступен только участникам программы бета-тестирования, а теперь начал предоставляться без ограничений всем публичным репозиториям. Для включения проверки своего репозитория в настройках в секции "Code security and analysis" следует активировать опцию "Secret scanning".
Всего реализовано более 200 шаблонов для выявления различных видов ключей, токенов, сертификатов и учётных данных. Поиск утечек осуществляется не только в коде, но и в issue, описаниях и комментариях. Для исключения ложных срабатываний проверяются только гарантированно определяемые типы токенов, охватывающие более 100 различных сервисов, включая Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems и Yandex.Cloud. Дополнительно поддерживается отправка предупреждений при выявлении самоподписанных сертификатов и ключей.
В январе в ходе эксперимента проанализировано 14 тысяч репозиториев, использующих GitHub Actions. В итоге в 1110 репозиториях (7.9%, т.е. почти в каждом двенадцатом) выявлено наличие секретных данных. Например, в репозиториях выявлено 692 токенов GitHub App, 155 ключей
Azure Storage, 155 токенов GitHub Personal, 120 ключей
Amazon AWS и 50 ключей Google API.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://github.blog/2023-02-28...)
- OpenNews: GitHub реализовал возможность упреждающей блокировки утечек токенов к API
- OpenNews: В ходе атаки на GitHub захвачены ключи для подписи приложений GitHub Desktop и Atom
- OpenNews: Сбои в системах сборки из-за изменения контрольных сумм архивов в GitHub
- OpenNews: Увольнение части сотрудников GitHub и GitLab
- OpenNews: GitHub опубликовал отчёт о блокировках в 2022 году
Похожие новости:
- GitHub ограничил конкурирующие сервисы, запрещающие сравнительное тестирование
- Увольнение части сотрудников GitHub и GitLab
- Сбои в системах сборки из-за изменения контрольных сумм архивов в GitHub
- В ходе атаки на GitHub захвачены ключи для подписи приложений GitHub Desktop и Atom
- GitHub прекращает поддержку Subversion
- GitHub объявил о внедрении в следующем году всеобщей двухфакторной аутентификации
- Судебное разбирательство против Microsoft и OpenAI, связанное с генератором кода GitHub Copilot
- GitHub реализовал поддержку токенов для предоставления выборочного доступа
- GitHub добавил поддержку отслеживания уязвимостей в проектах на языке Dart
- Инициатива по возвращению кода запрещённого сервиса Tornado Cash на GitHub
Теги для поиска: #_github
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 28-Апр 15:51
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
GitHub объявил о введении в строй бесплатного сервиса по отслеживанию случайной публикации в репозиториях конфиденциальных данных, таких как ключи шифрования, пароли к СУБД и токены доступа к API. Ранее данный сервис был доступен только участникам программы бета-тестирования, а теперь начал предоставляться без ограничений всем публичным репозиториям. Для включения проверки своего репозитория в настройках в секции "Code security and analysis" следует активировать опцию "Secret scanning". Всего реализовано более 200 шаблонов для выявления различных видов ключей, токенов, сертификатов и учётных данных. Поиск утечек осуществляется не только в коде, но и в issue, описаниях и комментариях. Для исключения ложных срабатываний проверяются только гарантированно определяемые типы токенов, охватывающие более 100 различных сервисов, включая Amazon Web Services, Azure, Crates.io, DigitalOcean, Google Cloud, NPM, PyPI, RubyGems и Yandex.Cloud. Дополнительно поддерживается отправка предупреждений при выявлении самоподписанных сертификатов и ключей. В январе в ходе эксперимента проанализировано 14 тысяч репозиториев, использующих GitHub Actions. В итоге в 1110 репозиториях (7.9%, т.е. почти в каждом двенадцатом) выявлено наличие секретных данных. Например, в репозиториях выявлено 692 токенов GitHub App, 155 ключей Azure Storage, 155 токенов GitHub Personal, 120 ключей Amazon AWS и 50 ключей Google API. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 28-Апр 15:51
Часовой пояс: UTC + 5