导读 GitHub 宣布将向更多用户提供其秘密扫描功能,以帮助公共存储库管理员在发生违规行为之前检测其存储库中泄露的秘密。此次发布是秘密扫描合
GitHub 宣布将向更多用户提供其秘密扫描功能,以帮助公共存储库管理员在发生违规行为之前检测其存储库中泄露的秘密。
此次发布是秘密扫描合作伙伴计划的一部分,该计划旨在通知 100 多家服务提供商公共存储库中的令牌暴露情况。
该功能以前仅适用于具有 GitHub Advanced Security 的组织,但现在所有公共存储库的管理员都可以使用。
Github 秘密扫描
Github 声称可以扫描 200 多种令牌格式(如 API 密钥和身份验证令牌),通常平均需要 327 天才能识别这些格式,并且已经通知其合作伙伴公共存储库中有 170 万个潜在的秘密曝光。
推出已经以测试版形式开始,GitHub 希望其所有成员都能在 2023 年 1 月底之前访问。该公司还指出了一个讨论板(在新标签页中打开)用户可以在其中请求抢先体验或更详细地讨论产品。
“一旦秘密扫描警报在您的存储库中可用,您就可以在存储库的“代码安全和分析”设置下的设置中启用它们,”公司博客上的一个条目(在新标签页中打开)著名的。
“您可以通过导航到存储库的“安全”选项卡并在“漏洞警报”下方的侧面板中选择“秘密扫描”来查看任何检测到的秘密。在那里,您将看到所有检测到的秘密列表,您可以单击任何警报以显示泄露的秘密、其位置和建议的补救措施。”
GitHub 2FA
为了强调其对安全的承诺,GitHub 还宣布将要求所有贡献代码的用户在 2023 年底之前在其帐户上设置双因素身份验证 (2FA),这将影响大约 9400 万用户。
一组选定的用户将在 2023 年 3 月首先收到此强制验证的通知,这将为 GitHub 将其推送到其整个用户群之前提供评估基础。