作为亚洲地区最小的标识符代销网络平台,GitHub 贯穿着数百万的标识符库。
但是,始终年来,相关“
即使在 2019 年,密西根华盛顿大学(NCSU)展开了几项学术,其在三个月前夕扫描器了 GitHub 公用标识符库数目中 13% 的文档,文档数目高达数千万个,结论辨认出其中有少于 100000 个标识符库外泄了 API 副本和身份验证公钥,每晚数百个捷伊代码库在外泄捷伊绝密文本。
df
最后,GitHub 非官方下手了!继 2022 年 4 月为 GitHub Advanced Security(GHAS,GitHub 高阶可靠性)采用者正式发布绝密扫描器的发送为保护机能测试版后,于日前正式发布测试版。
如今,GitHub 可以手动制止大部份公用标识符存储库的 API 公钥和出访副本等脆弱重要信息的外泄,也将面向全国大部份公用存储库提供更多完全免费的发送为保护机能。
GitHub 为安全可靠下手!
简而言之的发送为保护机能,具体文本是指通过在开发人员递交标识符以后扫描器度可辨识的绝密,避免绝密外泄,同时不能影响开发人员的采用新体验。
GitHub 的发送为保护机能适用于于检验 69 种副本类别,如 API 公钥、公钥、绝密公钥、身份验证副本、出访副本、管理工作合格证书、凭证等,具备较高的“误用”检验率。
在公告中,GitHub 写道:“如果你发送包含绝密的递交,发送为保护提示将出现,其中包含相关绝密类别、位置以及如何修复暴露的重要信息。”
简单来看,当在标识符中检验到绝密时,GitHub 会直接给出警示,开发人员将直接在他们的集成开发环境(IDE)或命令行界面中收到修复指南的提示,以确保绝密永远不会被暴露。
据 GitHub 称,自发送为保护机能测试版正式发布年来,启用它的软件开发人员成功避免了大约 17,000 起脆弱重要信息的意外外泄,节省了少于 95,000 个小时,这些时间本可以用于撤销、修复受损的绝密。
根据 GitHub 介绍,具备 GitHub Advanced Security 的组织可以通过 API 在存储库和组织级别中启用绝密扫描器发送为保护机能,或者只需从采用者界面单击一下即可。
具体文本操作如下:
进入 GitHub.com 页面,导航到组织的主页。
在组织名称下,点击——设置。
在边栏的“安全可靠”部分,单击——标识符安全可靠和分析。
在“配置标识符可靠性和分析”下,找到“GitHub 高阶可靠性”。
在“绝密扫描器”下,单击“发送为保护”旁边的全部启用按钮。
或者,单击“手动启用添加到绝密扫描器的私有存储库”。
也可以通过从每个存储库的“设置” – “安全可靠和分析” – “GitHub 高阶安全可靠”对话框中切换它来为单个存储库启用它。
你学会了吗?
更多细节文本可查看非官方公告:https://github.blog/2023-05-09-push-protection-is-generally-available-and-free-for-all-public-repositories/
