|
|
|
|
公众号矩阵

GitHub 机密扫描现在支持 PyPI 和 RubyGems

GitHub 最近将其机密扫描功能扩展到包含 PyPI 和 RubyGems 注册表机密的存储库,以防止 Ruby 和 Python 开发人员无意中将机密和凭据提交到他们的 GitHub 存储库。

作者:御坂弟弟来源:开源中国|2021-06-10 10:36

GitHub 最近将其机密扫描功能扩展到包含 PyPI 和 RubyGems 注册表机密的存储库,以防止 Ruby 和 Python 开发人员无意中将机密和凭据提交到他们的 GitHub 存储库。

机密(secret),也被称为令牌,是用于验证的唯一字符串。在编写软件时,开发人员通常会利用一些第三方软件来避免 “重复造轮子”。有时,第三方软件可以导入到代码中,但必须与外部服务进行沟通才能使用。此时就需要机密来进行验证,类似于使用用户名和密码来登录一个账户。例如,在 GitHub 上,如果用户想使用 API 对其账户或存储库进行修改,就需要生成一个个人访问令牌。

而 GitHub 机密扫描是一项扫描仓库推送的服务,搜索可能暴露的机密,以保证用户的代码和第三方账户的安全。公共仓库会自动进行扫描,私有仓库需要手动启用这项服务。目前,GitHub 已经与 40 多家云计算供应商合作,扫描 70 多种不同的机密类型。当其发现一个机密时,会把它直接发送给第三方云供应商进行撤销或者通知仓库所属用户。

根据官方公告,GitHub 机密扫描最近增加了对 RubyGems 和 PyPI 机密的支持,并且也扫描 npm、NuGet 和 Clojars 的机密。以 RubyGems 为例,如果用户将 RubyGems 的 API 密钥提交到一个公共仓库,GitHub 的机密扫描在自动扫描该提交时会发现该机密并通知 RubyGems 泄漏。然后 RubyGems 会撤销该机密,并向用户发送一封电子邮件,通知其该机密已被泄露。

GitHub 表示,其接下来将继续增加对新的机密类型的支持(针对任何云提供商,而不仅仅是包管理服务),比如最近新增的非软件包管理服务 Adobe 和 OpenAI 。关于 GitHub 机密扫描的详细内容,可以查看官方文档。

本文转自OSCHINA

本文标题:GitHub 机密扫描现在支持 PyPI 和 RubyGems

本文地址:https://www.oschina.net/news/145435/github-secret-scan-support-pypl-and-rubygems

【责任编辑:未丽燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

带你轻松入门 RabbitMQ

带你轻松入门 RabbitMQ

轻松入门RabbitMQ
共4章 | loong576

13人订阅学习

数据湖与数据仓库的分析实践攻略

数据湖与数据仓库的分析实践攻略

助力现代化数据管理:数据湖与数据仓库的分析实践攻略
共3章 | 创世达人

9人订阅学习

云原生架构实践

云原生架构实践

新技术引领移动互联网进入急速赛道
共3章 | KaliArch

40人订阅学习

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微