Secret scanning через GitHub MCP: почему секреты надо ловить до коммита
GitHub сделал secret scanning в MCP Server generally available. Это хороший пример защиты прямо в рабочем процессе агента.
Утечка секрета в git — одна из самых неприятных ошибок. Даже если быстро удалить коммит, секрет уже мог попасть в remote, CI, логи, форки или кеши. Поэтому лучший момент для проверки — до push, а еще лучше до коммита.
GitHub secret scanning в MCP Server интересен тем, что встраивает проверку в агентный workflow.
Почему это важно именно сейчас
AI-агенты часто читают и меняют много файлов. Они могут случайно предложить вставить token в конфиг, скопировать пример из .env, сгенерировать небезопасный workflow. Чем автоматичнее разработка, тем нужнее автоматические стопоры.
Что стоит делать в любом проекте
- не хранить реальные секреты в репозитории;
- держать
.env.exampleбез приватных значений; - включить secret scanning/push protection, если доступно;
- проверять CI-логи на случайный вывод секретов;
- ротировать ключ сразу после подозрения на утечку.
Мой вывод
Secret scanning — это не замена дисциплины. Это страховка от человеческих и агентных ошибок. И чем больше AI участвует в коде, тем важнее такие проверки до попадания изменений в историю.
Источник: GitHub MCP secret scanning GA.