GitHub 重拳出击,阻止令牌和 API 密钥泄露!

0f5dfc6bea8068184313c706e2bb416b.gif

整理 | 屠敏

出品 | CSDN(ID:CSDNnews)

作为全球最大的代码托管平台,GitHub 承载着数以亿计的代码库。

不过,一直以来,有关“Python、Docker 等 3.5 万个代码库被黑”、 “黑客盗用 OAuth 令牌,导致数十个组织数据泄露”等安全事件层出不穷,让人焦虑。

甚至在 2019 年,北卡罗来纳州立大学(NCSU)展开了一项学术研究,其在六个月期间扫描了 GitHub 公共代码库总数中 13% 的文件,文件数量高达数十亿个,结果发现其中有超过 100000 个代码库泄露了 API 令牌和加密密钥,每天数千个新的代码库在泄露新的秘密内容。

6a104e16fd0b9e946b5cb825fe1eace5.png

来源:https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_04B-3_Meli_paper.pdf

最终,GitHub 官方出手了!继 2022 年 4 月为 GitHub Advanced Security(GHAS,GitHub 高级安全性)用户发布秘密扫描的推送保护功能预览版之后,于近日发布正式版。

现如今,GitHub 可以自动阻止所有公共代码存储库的 API 密钥和访问令牌等敏感信息的泄露,也将面向所有公共存储库提供免费的推送保护功能。

5bae848e45c2f6e1359be93e92ecba5a.png

GitHub 为安全出手!

所谓的推送保护功能,具体是指通过在开发者提交代码之前扫描高度可识别的秘密,防止秘密泄漏,同时不会影响开发人员的使用体验。

GitHub 的推送保护功能适用于检测 69 种令牌类型,如 API 密钥、私钥、秘密密钥、身份验证令牌、访问令牌、管理证书、凭据等,具有较低的“误报”检测率。

在公告中,GitHub 写道:“如果你推送包含秘密的提交,推送保护提示将出现,其中包含有关秘密类型、位置以及如何修复暴露的信息。”

简单来看,当在代码中检测到秘密时,GitHub 会直接给出警示,开发人员将直接在他们的集成开发环境(IDE)或命令行界面中收到修复指南的提示,以确保秘密永远不会被暴露。

据 GitHub 称,自推送保护功能测试版发布以来,启用它的软件开发人员成功避免了大约 17,000 起敏感信息的意外泄露,节省了超过 95,000 个小时,这些时间本可以用于撤销、修复受损的秘密。

69cd5d1b7ac8a59e52d1c54f37418cf4.png

22832eb71eba77481d836f70b4f67940.png

如何在 GitHub 上开启秘密扫描功能,保护我方的代码安全?

根据 GitHub 介绍,具有 GitHub Advanced Security 的组织可以通过 API 在存储库和组织级别中启用秘密扫描推送保护功能,或者只需从用户界面单击一下即可。

具体操作如下:

  1. 进入 GitHub.com 页面,导航到组织的主页。

  2. 在组织名称下,点击——设置。

  3. 在边栏的“安全”部分,单击——代码安全和分析。

  4. 在“配置代码安全性和分析”下,找到“GitHub 高级安全性”。

  5. 在“秘密扫描”下,单击“推送保护”旁边的全部启用按钮。

  6. 或者,单击“自动启用添加到秘密扫描的私有存储库”。

f861bcc030c4d404274af78943f41997.png

也可以通过从每个存储库的“设置” - “安全和分析” - “GitHub 高级安全”对话框中切换它来为单个存储库启用它。 

02a66e791f2e70c9b0068e635996dfd4.png

你学会了吗?

更多细节内容可查看官方公告:https://github.blog/2023-05-09-push-protection-is-generally-available-and-free-for-all-public-repositories/

推荐阅读:

▶马斯克宣布将卸任推特CEO:转战技术岗位 ;王坚正式回归阿里云;科大讯飞否认星火大模型套壳ChatGPT|极客头条

▶谷歌全面反攻 ChatGPT!PaLM 2、Gemini 双杀,Bard 正式开放

▶大模型扎堆涌现,AIGC 的价值到底是什么?

cd73ef254b602bd8bb42c9fa2dd22024.jpeg

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/65882.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Chrome无法访问此网站 ,blog.csdn.net意外终止了连接

这两天使用Chrome浏览器总是出现下面这种情况 ,去网上看了许多的帖子,也没有解决问题。 最后 ,我将Chrome 浏览器中的 cookie都删除了, 发现浏览器又可以正常使用了 操作如下 【注 :Cookie清除后,原来账号自…

无法访问此网站 localhost 拒绝了我们的连接请求。

使用linux下的ssh或者windows下的xshell远程了服务器之后, 使用jupyter notebook命令想在本地浏览器打开服务器的jupyter, 复制login的链接如:http://localhost:8889/?token38e360e7365e07a875983bfddbaa3e9161660b0b7f11dfb2 至浏览器中…

无法访问此网站 localhost 拒绝了我们的连接请求

今天部署项目到云服务器上的时候,我改变了端口号,后来就无法访问了QAQ 后来百度到大佬的博客,https://blog.csdn.net/qq_36305327/article/details/73555351?t1506091971926 才知道,错误原因:服务没有开启。 解决办…

https访问出现无法访问此网站

ERR_HTTP2_INADEQUATE_TRANSPORT_SECURITY 在服务器的apache开启和正常的情况下https无法访问。 1.通过记事本管理员权限打开修改C:\Windows\System32\drivers\etc\hosts文件 通过网页已经能够访问到网址,但是这个只限于本机。如果不能访问就是服务器配置https错…

Chrome之“无法访问此网站 找不到服务器IP地址“解决方案

最近老是访问各种网站,提示无法访问此网站。然后刷新几下又能访问了 解决方案 dont怀疑,就是你的网络DNS被劫持了。修改你的DNS 国内通用的114DNS:114.114.114.114和114.114.115.115 步骤如下 以win10为例,其他win类似 1.控制…

网站使用了HSTS,谷歌浏览器无法访问,解决方法

1.在谷歌浏览器输入:chrome://net-internals/#hsts 2.找到 Delete domain security policies,输入域名或ip地址 delete 就能访问了

[问题解决][edge]你现在无法访问 XXX.com,因为网站使用的是 HSTS。网络错误和攻击通常是暂时的,因此该页面以后可能会恢复正常。

用edge今天访问公司的测试产品,出现 这样的问题。 HSTS:HSTS 是 HTTP 严格传输安全(HTTP Strict Transport Security) 的缩写。 这是一种网站用来声明他们只能使用安全连接(HTTPS)访问的方法。 如果一个网…

浏览器突然访问不了某个网址或者提示无法访问此网站

注意:仅限于提示浏览器认为该端口不安全,限制该请求访问的情况 解决办法: 谷歌桌面图标鼠标右键——>属性——>快捷方式——>目标——>加入 --explicitly-allowed-ports10080(前面要有空格 隔开,多个端口…

您目前无法访问XXXX,因为此网站使用了HSTS

目录 一、问题出现 二、问题解决 1、Chrome浏览器解决方法 2、IE浏览器 3、终极奥义 一、问题出现 早上来打开电脑,开始写代码!Link-Start!!! 遇到不会的,查! 您的链接不是私密连接。。。。…

谷歌浏览器无法访问网站

今天下载谷歌浏览器后,通过中文输入访问其他网站时,发现遇到下面这个问题 然后百度了一下原因,说是跟谷歌浏览器自签证有关,根据网上答主提供的以下方法:添加链接描述 根据上面的方法,并没有解决&#xff…

网站不加“www”无法访问怎么解决?

网站不加“www”无法访问怎么解决? 我什么情况下遇到了此问题如何解决此问题步骤图解 我什么情况下遇到了此问题 访问网站的时候,我们并不会输入网站前缀“WWW”而是直接访问网站。比如:baidu.com,正常情况下网站可以直接解析到www.baidu.c…

Chrome浏览器访问EasyDSS报错“无法访问此网站”的排查步骤及解决办法

我们也时常会有接到用户的反馈,在使用EasyDSS时会出现报错“无法访问此网站,网址为 http://demo.easydss.com:10080/ 的网页可能暂时无法连接,或者它已永久性地移动到了新网址。” 因为咨询的用户比较多,而且问题也很典型&#x…

自己搭建的网站,浏览器无法访问此页面解决方法

1.点击“网络与安全”,点击“安全组”,点击,点击“添加规则”。 2.点击你的域名找到解析 3.添加记录不懂的可以点击新手引导, 添加你的云服务器地址ip

“无法访问此网站”的一些原因

问题原因 问题描述 前几天因为本地账户迁移的原因,很多文件直接从原来的用户文件夹(C:/Users/用户名/)路径中拷贝到当前用户。和往常一样登陆代理后搜索google,结果无法访问此网站: 但是重新打开了个浏览窗口&#xff…

访问网站报错‘您目前无法访问XXXX 因为此网站使用了 HSTS

使用Chrome测试某一个网站时,之前一直可以正常访问, 突然再次访问就显示:“您目前无法访问XXXX 因为此网站使用了 HSTS” 使用IE之前也是可以正常访问的, 但是,现在也变成如下所示: 1) Chrome 处…

egg extend ts_王者荣耀KPL秋季赛赛果预测: 重庆QGhappy对阵WB.TS 小胖野区迎战暖阳...

20:00 重庆QGhappy vs WB.TS 双方首发阵容: 重庆QGhappy:杰杰 小胖 向鱼Hurt 帆帆 WB.TS:神人 暖阳 千世 诗酒 阿豆 战队分析: 重庆QGhappy目前是七胜八负的战绩,KPL赛事竞猜投注关注宫众号:电竞竞猜赛事&a…

大数据预测世界杯 八种方法谁靠谱

西班牙、英格兰连续两场失利,小组赛即遭淘汰,不仅让一些球迷伤心欲绝,让彩民损失不小,还顺便连累了众多预测世界杯的高人欲哭无泪。 这届世界杯在大数据火爆之后,不管是民间还是官方,都把大数据的概念运用到…

10天!从零开发wap电竞预测系统

这里写自定义目录标题 如何从小白快速开发一款电竞预测系统必备三件套 服务器、数据库、域名数据源选择正式开发安装fileinfo扩展实现文件上传最开始的一步:登陆添加赛事类别上分处理过程繁多。。。直接来到最后最终效果最后的最后如何从小白快速开发一款电竞预测系统 想要从…