当前位置: 首页 >  关注  >  正文

GitHub 重拳出击,阻止令牌和 API 密钥泄露!-焦点速看
2023-05-12 22:43:51 CSDN
整理 | 屠敏
出品 | CSDN(ID:CSDNnews)

作为全球最大的代码托管平台,GitHub 承载着数以亿计的代码库。


【资料图】

不过,一直以来,有关“ Python、Docker 等 3.5 万个代码库被黑 ”、 “ 黑客盗用 OAuth 令牌,导致数十个组织数据泄露 ”等安全事件层出不穷,让人焦虑。

甚至 在 2019 年,北卡罗来纳州立大学(NCSU)展开了一项学术研究,其在六个月期间扫描了 GitHub 公共代码库总数中 13% 的文件,文件数量高达数十亿个,结果发现其中有超过 100000 个代码库泄露了 API 令牌和加密密钥,每天数千个新的代码库在泄露新的秘密内容。

来源:https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_04B-3_Meli_paper.pdf

最终,GitHub 官方出手了!继 2022 年 4 月为 GitHub Advanced Security(GHAS,GitHub 高级安全性) 用户发布秘密扫描的推送保护功能预览版之后,于近日发布正式版。

现如今,GitHub 可以自动阻止所有公共代码存储库的 API 密钥和访问令牌等敏感信息的泄露,也将面向所有公共存储库提供免费的推送保护功能。

GitHub 为安全出手!

所谓的推送保护功能,具体是指通过在开发者提交代码之前扫描高度可识别的秘密,防止秘密泄漏,同时不会影响开发人员的使用体验。

GitHub 的推送保护功能适用于检测 69 种令牌类型,如 API 密钥、私钥、秘密密钥、身份验证令牌、访问令牌、管理证书、凭据等,具有较低的“误报”检测率。

在公告中,GitHub 写道:“如果你推送包含秘密的提交,推送保护提示将出现,其中包含有关秘密类型、位置以及如何修复暴露的信息。”

简单来看,当在代码中检测到秘密时,GitHub 会直接给出警示,开发人员将直接在他们的集成开发环境(IDE)或命令行界面中收到修复指南的提示,以确保秘密永远不 会被暴露。

据 GitHub 称,自推送保护功能测试版发布以来,启用它的软件开发人员成功避免了大约 17,000 起敏感信息的意外泄露,节省了超过 95,000 个小时,这些时间本可以用于撤销、修复受损的秘密。

如何在 GitHub 上开启秘密扫描功能,保护我方的代码安全?

根据 GitHub 介绍,具有 GitHub Advanced Security 的组织可以通过 API 在存储库和组织级别中启用秘密扫描推送保护功能,或者只需从用户界面单击一下即可。

具体操作如下:

进入 GitHub.com 页面,导航到组织的主页。

在组织名称下,点击——设置。

在边栏的“安全”部分,单击——代码安全和分析。

在“配置代码安全性和分析”下,找到“GitHub 高级安全性”。

在“秘密扫描”下,单击“推送保护”旁边的全部启用按钮。

或者,单击“自动启用添加到秘密扫描的私有存储库”。

也可以通过从每个存储库的“设置” - “ 安全和分析” - “GitHub 高级安全”对话框中切换它来为单个存储库启用它。

你学会了吗?

更多细节内容可查看官方公告: https://github.blog/2023-05-09-push-protection-is-generally-available-and-free-for-all-public-repositories/

热门推荐