В статье рассказывается о поиске секретов в коде в условиях сложных сред: крупных монорепозиториев и платформ с недетерминированными форматами секретов. Автор статьи Денис Макрушин, совместно с коллегами Андреем Кулешовым и Алексеем Тройниковым в этом году сделали POC платформы для безопасной разработки в рамках команды SourceCraft. Их appsec-платформа состоит из двух групп инструментов: анализаторы, которые требуют точной настройки, и слой управления, который отвечает за обработку результатов и интеграцию с инфраструктурой. В материале подробно рассматривается этап discovery для анализатора секретов: оценка существующих инструментов, их ограничений и методов повышения эффективности Secret Scanning по трём ключевым параметрам — точности, полноте и скорости.