文/李建興 | 2022-12-16
GitHub現在逐步向公開儲存庫推送秘密掃描功能,用戶將可以在秘密洩漏時獲得警報,GitHub也會通知其合作夥伴以採取保護措施。
官方提到,秘密和憑證外洩是資料洩漏最常見的原因。GitHub與服務供應商合作,透過秘密掃描合作夥伴計畫,掃描儲存庫中200多種權杖格式,標記所有公開儲存庫中洩漏的憑證,並通知秘密掃描合作夥伴,採取積極保護措施。光在2022年,GitHub就已經向秘密掃描合作夥伴,通報超過170萬個公開儲存庫中潛在的秘密,避免這些權杖遭到濫用。
而GitHub現在針對公開儲存庫,推出機密掃描公開測試版本,並預計在2023年1月底,擴展至所有用戶。一旦儲存庫獲得機密掃描警報功能,便可以在程式碼安全和分析配置中,從儲存庫的配置中啟用,並在儲存庫的安全頁籤裡的漏洞警報面板,查看系統偵測到的秘密。
