秘密掃描計劃(Secret scanning program)是 GitHub 推出的一項服務，GitHub 通過與倉庫所有者展開合作，對倉庫進行秘密掃描以保護秘密令牌格式的安全，該掃描將搜索意外提交的令牌格式。此舉可以防止因欺詐性目的而意外使用了錯誤的提交。

[[390243]]

近日，GitHub 宣布與 Python Package Index(PyPI)展開合作，幫助保護用戶免受 PyPI API 令牌的泄露所產生的侵害。

根據公告，從現在開始，GitHub 將掃描公共倉庫的每一次提交，以尋找暴露的 PyPI API 令牌。它將把發現的任何令牌轉發給 PyPI，PyPI 在此過程中將自動禁用它們并通知它們的所有者。這個端到端過程只需要幾秒鐘。

GitHub 表示，PyPI 是加入 GitHub 秘密掃描計劃的又一個集成商。自 2018 年以來，GitHub 已經與 35 家令牌發行商合作以幫助他們保護客戶的安全。與此同時，GitHub 也歡迎更多的集成商加入他們的計劃對公共倉庫進行秘密掃描。

如何加入秘密掃描計劃：

• 聯系 GitHub 以啟動流程;
• 確定要掃描的相關秘密，并創建正則表達式來捕獲它們;
• 針對在公共倉庫中發現的秘密匹配項，創建一個秘密警報服務，以便從 GitHub 接受包含秘密掃描消息有效負載的 web hooks;
• 在秘密警報服務中實施簽名驗證;
• 在秘密警報服務中實施秘密撤銷和用戶通知;
• 提供誤報的反饋(可選)。

不僅如此，GitHub 高級安全(Advanced Security)客戶現在還可以掃描他們的私人倉庫，以防止泄漏。

本文轉自OSCHINA

本文標題：PyPl 加入 GitHub 秘密掃描計劃

本文地址：https://www.oschina.net/news/134962/pypl-joins-secret-scanning