GitHub 機密掃描現在支持 PyPI 和 RubyGems
GitHub 最近將其機密掃描功能擴展到包含 PyPI 和 RubyGems 注冊表機密的存儲庫,以防止 Ruby 和 Python 開發人員無意中將機密和憑據提交到他們的 GitHub 存儲庫。
機密(secret),也被稱為令牌,是用于驗證的唯一字符串。在編寫軟件時,開發人員通常會利用一些第三方軟件來避免 “重復造輪子”。有時,第三方軟件可以導入到代碼中,但必須與外部服務進行溝通才能使用。此時就需要機密來進行驗證,類似于使用用戶名和密碼來登錄一個賬戶。例如,在 GitHub 上,如果用戶想使用 API 對其賬戶或存儲庫進行修改,就需要生成一個個人訪問令牌。
而 GitHub 機密掃描是一項掃描倉庫推送的服務,搜索可能暴露的機密,以保證用戶的代碼和第三方賬戶的安全。公共倉庫會自動進行掃描,私有倉庫需要手動啟用這項服務。目前,GitHub 已經與 40 多家云計算供應商合作,掃描 70 多種不同的機密類型。當其發現一個機密時,會把它直接發送給第三方云供應商進行撤銷或者通知倉庫所屬用戶。
根據官方公告,GitHub 機密掃描最近增加了對 RubyGems 和 PyPI 機密的支持,并且也掃描 npm、NuGet 和 Clojars 的機密。以 RubyGems 為例,如果用戶將 RubyGems 的 API 密鑰提交到一個公共倉庫,GitHub 的機密掃描在自動掃描該提交時會發現該機密并通知 RubyGems 泄漏。然后 RubyGems 會撤銷該機密,并向用戶發送一封電子郵件,通知其該機密已被泄露。
GitHub 表示,其接下來將繼續增加對新的機密類型的支持(針對任何云提供商,而不僅僅是包管理服務),比如最近新增的非軟件包管理服務 Adobe 和 OpenAI 。關于 GitHub 機密掃描的詳細內容,可以查看官方文檔。
本文轉自OSCHINA
本文標題:GitHub 機密掃描現在支持 PyPI 和 RubyGems
本文地址:https://www.oschina.net/news/145435/github-secret-scan-support-pypl-and-rubygems
