GitHub 最近将其机密扫描功能扩展到包含 PyPI 和 RubyGems 注册表机密的存储库,以防止 Ruby 和 Python 开发人员无意中将机密和凭据提交到他们的 GitHub 存储库。
机密(secret),也被称为令牌,是用于验证的唯一字符串。在编写软件时,开发人员通常会利用一些第三方软件来避免 “重复造轮子”。有时,第三方软件可以导入到代码中,但必须与外部服务进行沟通才能使用。此时就需要机密来进行验证,类似于使用用户名和密码来登录一个账户。例如,在 GitHub 上,如果用户想使用 API 对其账户或存储库进行修改,就需要生成一个个人访问令牌。
而 GitHub 机密扫描是一项扫描仓库推送的服务,搜索可能暴露的机密,以保证用户的代码和第三方账户的安全。公共仓库会自动进行扫描,私有仓库需要手动启用这项服务。目前,GitHub 已经与 40 多家云计算供应商合作,扫描 70 多种不同的机密类型。当其发现一个机密时,会把它直接发送给第三方云供应商进行撤销或者通知仓库所属用户。
根据官方公告,GitHub 机密扫描最近增加了对 RubyGems 和 PyPI 机密的支持,并且也扫描 npm、NuGet 和 Clojars 的机密。以 RubyGems 为例,如果用户将 RubyGems 的 API 密钥提交到一个公共仓库,GitHub 的机密扫描在自动扫描该提交时会发现该机密并通知 RubyGems 泄漏。然后 RubyGems 会撤销该机密,并向用户发送一封电子邮件,通知其该机密已被泄露。
GitHub 表示,其接下来将继续增加对新的机密类型的支持(针对任何云提供商,而不仅仅是包管理服务),比如最近新增的非软件包管理服务 Adobe 和 OpenAI 。关于 GitHub 机密扫描的详细内容,可以查看官方文档。
猜你喜欢: