GitHub 机密扫描现在支持 PyPI 和 RubyGems

开发 前端
GitHub 最近将其机密扫描功能扩展到包含 PyPI 和 RubyGems 注册表机密的存储库,以防止 Ruby 和 Python 开发人员无意中将机密和凭据提交到他们的 GitHub 存储库。

[[404946]]

GitHub 最近将其机密扫描功能扩展到包含 PyPI 和 RubyGems 注册表机密的存储库,以防止 Ruby 和 Python 开发人员无意中将机密和凭据提交到他们的 GitHub 存储库。

机密(secret),也被称为令牌,是用于验证的唯一字符串。在编写软件时,开发人员通常会利用一些第三方软件来避免 “重复造轮子”。有时,第三方软件可以导入到代码中,但必须与外部服务进行沟通才能使用。此时就需要机密来进行验证,类似于使用用户名和密码来登录一个账户。例如,在 GitHub 上,如果用户想使用 API 对其账户或存储库进行修改,就需要生成一个个人访问令牌。

而 GitHub 机密扫描是一项扫描仓库推送的服务,搜索可能暴露的机密,以保证用户的代码和第三方账户的安全。公共仓库会自动进行扫描,私有仓库需要手动启用这项服务。目前,GitHub 已经与 40 多家云计算供应商合作,扫描 70 多种不同的机密类型。当其发现一个机密时,会把它直接发送给第三方云供应商进行撤销或者通知仓库所属用户。

根据官方公告,GitHub 机密扫描最近增加了对 RubyGems 和 PyPI 机密的支持,并且也扫描 npm、NuGet 和 Clojars 的机密。以 RubyGems 为例,如果用户将 RubyGems 的 API 密钥提交到一个公共仓库,GitHub 的机密扫描在自动扫描该提交时会发现该机密并通知 RubyGems 泄漏。然后 RubyGems 会撤销该机密,并向用户发送一封电子邮件,通知其该机密已被泄露。

GitHub 表示,其接下来将继续增加对新的机密类型的支持(针对任何云提供商,而不仅仅是包管理服务),比如最近新增的非软件包管理服务 Adobe 和 OpenAI 。关于 GitHub 机密扫描的详细内容,可以查看官方文档。

本文转自OSCHINA

本文标题:GitHub 机密扫描现在支持 PyPI 和 RubyGems

本文地址:https://www.oschina.net/news/145435/github-secret-scan-support-pypl-and-rubygems

责任编辑:未丽燕 来源: 开源中国
相关推荐

2021-05-11 09:00:29

GitHub安全密钥防盗

2022-03-10 15:42:18

机器学习GitHub

2021-10-15 09:58:18

云计算GitHub存储库泄露

2021-03-29 12:51:04

GitHub秘密扫描计划PyPl

2011-05-20 15:46:45

RubyGemsRuby

2019-08-19 14:59:49

GitHub代码开发者

2024-10-31 13:40:24

GitHubCopilot人工智能

2015-02-27 16:39:26

快递查询ZXing扫描单号

2009-03-20 12:08:14

LINUXUBUNTUFEDORA

2022-09-22 09:01:24

Packj管理工具

2020-11-10 08:14:54

GitHub

2020-11-10 15:08:58

GitHub泄露源代码

2014-11-17 09:36:46

2015-03-31 16:49:01

2012-05-30 11:29:48

明基扫描仪

2022-02-23 15:36:06

GitHub代码扫描功能机器学习

2022-02-25 11:24:23

开源GitHub机器学习

2021-08-04 09:24:58

PyPI恶意软件漏洞

2018-03-24 20:27:58

GitHub代码开发者

2010-09-17 16:16:28

点赞
收藏

51CTO技术栈公众号