整理 | 屠敏

出品 | CSDN（ID：CSDNnews）

作为全球最大的代码托管平台，GitHub 承载着数以亿计的代码库。

不过，一直以来，有关“Python、Docker 等 3.5 万个代码库被黑”、 “黑客盗用 OAuth 令牌，导致数十个组织数据泄露”等安全事件层出不穷，让人焦虑。

甚至在 2019 年，北卡罗来纳州立大学（NCSU）展开了一项学术研究，其在六个月期间扫描了 GitHub 公共代码库总数中 13% 的文件，文件数量高达数十亿个，结果发现其中有超过 100000 个代码库泄露了 API 令牌和加密密钥，每天数千个新的代码库在泄露新的秘密内容。

来源：https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_04B-3_Meli_paper.pdf

最终，GitHub 官方出手了！继 2022 年 4 月为 GitHub Advanced Security（GHAS，GitHub 高级安全性）用户发布秘密扫描的推送保护功能预览版之后，于近日发布正式版。

现如今，GitHub 可以自动阻止所有公共代码存储库的 API 密钥和访问令牌等敏感信息的泄露，也将面向所有公共存储库提供免费的推送保护功能。

GitHub 为安全出手！

所谓的推送保护功能，具体是指通过在开发者提交代码之前扫描高度可识别的秘密，防止秘密泄漏，同时不会影响开发人员的使用体验。

GitHub 的推送保护功能适用于检测 69 种令牌类型，如 API 密钥、私钥、秘密密钥、身份验证令牌、访问令牌、管理证书、凭据等，具有较低的“误报”检测率。

在公告中，GitHub 写道：“如果你推送包含秘密的提交，推送保护提示将出现，其中包含有关秘密类型、位置以及如何修复暴露的信息。”

简单来看，当在代码中检测到秘密时，GitHub 会直接给出警示，开发人员将直接在他们的集成开发环境（IDE）或命令行界面中收到修复指南的提示，以确保秘密永远不会被暴露。

据 GitHub 称，自推送保护功能测试版发布以来，启用它的软件开发人员成功避免了大约 17,000 起敏感信息的意外泄露，节省了超过 95,000 个小时，这些时间本可以用于撤销、修复受损的秘密。

如何在 GitHub 上开启秘密扫描功能，保护我方的代码安全？

根据 GitHub 介绍，具有 GitHub Advanced Security 的组织可以通过 API 在存储库和组织级别中启用秘密扫描推送保护功能，或者只需从用户界面单击一下即可。

具体操作如下：

1. 进入 GitHub.com 页面，导航到组织的主页。

2. 在组织名称下，点击——设置。

3. 在边栏的“安全”部分，单击——代码安全和分析。

4. 在“配置代码安全性和分析”下，找到“GitHub 高级安全性”。

5. 在“秘密扫描”下，单击“推送保护”旁边的全部启用按钮。

6. 或者，单击“自动启用添加到秘密扫描的私有存储库”。

也可以通过从每个存储库的“设置” - “安全和分析” - “GitHub 高级安全”对话框中切换它来为单个存储库启用它。 

你学会了吗？

更多细节内容可查看官方公告：https://github.blog/2023-05-09-push-protection-is-generally-available-and-free-for-all-public-repositories/

推荐阅读：

▶马斯克宣布将卸任推特CEO：转战技术岗位 ；王坚正式回归阿里云；科大讯飞否认星火大模型套壳ChatGPT|极客头条

▶谷歌全面反攻 ChatGPT！PaLM 2、Gemini 双杀，Bard 正式开放

▶大模型扎堆涌现，AIGC 的价值到底是什么？