В GitHub завершили бета-тестирование своего сканера «секретных данных»

В GitHub сделали функцию Secret scanning общедоступной и бесплатной для всех разработчиков. Она поможет убедиться, что в коде, его описаниях, сведениях об ошибках, а также комментариях нет т.н. секретов: учётных данных для подключения к корпоративной инфраструктуре, приватных ключей, сертификатов и токенов API.

На данных момент в GitHub реализовали более 200 шаблонов для выявления различных видов ключей, токенов, сертификатов и учётных данных. Поиск утечек конфиденциальной информации осуществляется не только в коде, но и в issue, а также описаниях и комментариях.

Для запуска сканера администратор репозитория должен зайти в «Настройки», слева выбрать раздел «Безопасность и анализ кода» и в нём нажать «Сканирование секретов» и «Разрешить». Подробнее о функции можно прочитать в документации GitHub.

Бета-версия общедоступного сервиса вышла в середине декабря 2022 года. С того момента и до сегодняшнего дня пользоваться им могли только владельцы лицензии на продукт GitHub Advanced Security, работающие в облаке GitHub Enterprise Cloud.