作为全球最大的代码托管平台,GitHub 承载着数以亿计的代码库。
【资料图】
不过,一直以来,有关“ Python、Docker 等 3.5 万个代码库被黑 ”、 “ 黑客盗用 OAuth 令牌,导致数十个组织数据泄露 ”等安全事件层出不穷,让人焦虑。
甚至 在 2019 年,北卡罗来纳州立大学(NCSU)展开了一项学术研究,其在六个月期间扫描了 GitHub 公共代码库总数中 13% 的文件,文件数量高达数十亿个,结果发现其中有超过 100000 个代码库泄露了 API 令牌和加密密钥,每天数千个新的代码库在泄露新的秘密内容。
来源:https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_04B-3_Meli_paper.pdf
最终,GitHub 官方出手了!继 2022 年 4 月为 GitHub Advanced Security(GHAS,GitHub 高级安全性) 用户发布秘密扫描的推送保护功能预览版之后,于近日发布正式版。
现如今,GitHub 可以自动阻止所有公共代码存储库的 API 密钥和访问令牌等敏感信息的泄露,也将面向所有公共存储库提供免费的推送保护功能。
GitHub 为安全出手!
所谓的推送保护功能,具体是指通过在开发者提交代码之前扫描高度可识别的秘密,防止秘密泄漏,同时不会影响开发人员的使用体验。
GitHub 的推送保护功能适用于检测 69 种令牌类型,如 API 密钥、私钥、秘密密钥、身份验证令牌、访问令牌、管理证书、凭据等,具有较低的“误报”检测率。
在公告中,GitHub 写道:“如果你推送包含秘密的提交,推送保护提示将出现,其中包含有关秘密类型、位置以及如何修复暴露的信息。”
简单来看,当在代码中检测到秘密时,GitHub 会直接给出警示,开发人员将直接在他们的集成开发环境(IDE)或命令行界面中收到修复指南的提示,以确保秘密永远不 会被暴露。
据 GitHub 称,自推送保护功能测试版发布以来,启用它的软件开发人员成功避免了大约 17,000 起敏感信息的意外泄露,节省了超过 95,000 个小时,这些时间本可以用于撤销、修复受损的秘密。
如何在 GitHub 上开启秘密扫描功能,保护我方的代码安全?
根据 GitHub 介绍,具有 GitHub Advanced Security 的组织可以通过 API 在存储库和组织级别中启用秘密扫描推送保护功能,或者只需从用户界面单击一下即可。
具体操作如下:
进入 GitHub.com 页面,导航到组织的主页。
在组织名称下,点击——设置。
在边栏的“安全”部分,单击——代码安全和分析。
在“配置代码安全性和分析”下,找到“GitHub 高级安全性”。
在“秘密扫描”下,单击“推送保护”旁边的全部启用按钮。
或者,单击“自动启用添加到秘密扫描的私有存储库”。
也可以通过从每个存储库的“设置” - “ 安全和分析” - “GitHub 高级安全”对话框中切换它来为单个存储库启用它。
你学会了吗?
更多细节内容可查看官方公告: https://github.blog/2023-05-09-push-protection-is-generally-available-and-free-for-all-public-repositories/