GitHub 重拳出击,阻止令牌和 API 密钥泄露!
2023-5-12 15:21:14 Author: 寰宇卫士(查看原文) 阅读量:18 收藏

作为全球最大的代码托管平台,GitHub 承载着数以亿计的代码库。

不过,一直以来,有关“Python、Docker 等 3.5 万个代码库被黑”、 “黑客盗用 OAuth 令牌,导致数十个组织数据泄露”等安全事件层出不穷,让人焦虑。

甚至在 2019 年,北卡罗来纳州立大学(NCSU)展开了一项学术研究,其在六个月期间扫描了 GitHub 公共代码库总数中 13% 的文件,文件数量高达数十亿个,结果发现其中有超过 100000 个代码库泄露了 API 令牌和加密密钥,每天数千个新的代码库在泄露新的秘密内容。

来源:https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_04B-3_Meli_paper.pdf

最终,GitHub 官方出手了!继 2022 年 4 月为 GitHub Advanced Security(GHAS,GitHub 高级安全性)用户发布秘密扫描的推送保护功能预览版之后,于近日发布正式版。

现如今,GitHub 可以自动阻止所有公共代码存储库的 API 密钥和访问令牌等敏感信息的泄露,也将面向所有公共存储库提供免费的推送保护功能。

GitHub 为安全出手!

所谓的推送保护功能,具体是指通过在开发者提交代码之前扫描高度可识别的秘密,防止秘密泄漏,同时不会影响开发人员的使用体验。

GitHub 的推送保护功能适用于检测 69 种令牌类型,如 API 密钥、私钥、秘密密钥、身份验证令牌、访问令牌、管理证书、凭据等,具有较低的“误报”检测率。

在公告中,GitHub 写道:“如果你推送包含秘密的提交,推送保护提示将出现,其中包含有关秘密类型、位置以及如何修复暴露的信息。”

简单来看,当在代码中检测到秘密时,GitHub 会直接给出警示,开发人员将直接在他们的集成开发环境(IDE)或命令行界面中收到修复指南的提示,以确保秘密永远不会被暴露。

据 GitHub 称,自推送保护功能测试版发布以来,启用它的软件开发人员成功避免了大约 17,000 起敏感信息的意外泄露,节省了超过 95,000 个小时,这些时间本可以用于撤销、修复受损的秘密。

如何在 GitHub 上开启秘密扫描功能,保护我方的代码安全?

根据 GitHub 介绍,具有 GitHub Advanced Security 的组织可以通过 API 在存储库和组织级别中启用秘密扫描推送保护功能,或者只需从用户界面单击一下即可。

具体操作如下:

  1. 进入 GitHub.com 页面,导航到组织的主页。

  2. 在组织名称下,点击——设置。

  3. 在边栏的“安全”部分,单击——代码安全和分析。

  4. 在“配置代码安全性和分析”下,找到“GitHub 高级安全性”。

  5. 在“秘密扫描”下,单击“推送保护”旁边的全部启用按钮。

  6. 或者,单击“自动启用添加到秘密扫描的私有存储库”。

也可以通过从每个存储库的“设置” - “安全和分析” - “GitHub 高级安全”对话框中切换它来为单个存储库启用它。 

你学会了吗?

更多细节内容可查看官方公告:https://github.blog/2023-05-09-push-protection-is-generally-available-and-free-for-all-public-repositories/

原文来自「CSDN」|侵删

中电运行是专业专注培养能源企业IT工匠和提供IT整体解决方案的服务商,也是能源互联网安全专家。我们每天都会分享各种IT相关内容,如果您有任何关于IT疑问,欢迎给我们留言

小白必读!寰宇卫士手把手教你栈溢出(上)

手把手教你栈溢出(中)

手把手教你栈溢出(下)

《信息安全知识》之法律关键常识汇总

CTF经验分享|带你入门带你飞!


文章来源: http://mp.weixin.qq.com/s?__biz=MzIwMzU0NDY5OA==&mid=2247497094&idx=1&sn=630eca340e1d60b756faa8409f0f976e&chksm=96cf7493a1b8fd859897999f6f26f2bd26108536aa5ce4d4c36602508774e0ae9843d252c176#rd
如有侵权请联系:admin#unsafe.sh