GitHub 正在推出对其代码托管平台上所有公共存储库的免费扫描公开秘密(例如凭据和授权令牌)的支持。
秘密扫描是一种安全选项,组织可以启用它以进行额外的存储库扫描,以检测已知类型的秘密的意外暴露。
它通过匹配合作伙伴和服务提供商提供的或组织定义的模式来工作。如果合作伙伴模式触发了匹配,每个匹配项都会在存储库的“安全”选项卡中作为安全警报报告或报告给合作伙伴。
以前,秘密扫描服务仅适用于使用 GitHub Enterprise Cloud 和 GitHub Advanced Security 许可证的组织。
GitHub 扫描存储库以查找 200 多种令牌格式 (包括 API 密钥、身份验证令牌、访问令牌、管理证书、凭据、私钥、秘密密钥等)。
仅今年年初以来,该公司就发布了超过 170 万次关于公共存储库中暴露的潜在机密的警报。
“今天,我们开始免费对 GitHub 社区中的所有免费公共存储库进行秘密扫描,”GitHub 的 Mariam Sulakian 和 Zain Malik 周四表示。
“我们将在今天开始逐步推出对公共存储库进行秘密扫描的公开测试版,并希望所有用户都能在 2023 年 1 月底之前拥有该功能。”
一旦在存储库上启用,GitHub 将自动通知开发人员代码中泄露的秘密,从而使组织能够轻松跟踪警报、识别泄漏源并迅速采取行动,以防止意外盗用提交给公共仓库的任何秘密。
要打开免费公共存储库的秘密扫描警报,您必须完成以下步骤:
-
在 GitHub.com 上,导航到存储库的主页。
-
在您的存储库名称下,单击存储库“设置”按钮。
-
在边栏的“安全”部分,单击“代码安全和分析”。
-
向下滚动到页面底部,然后单击“启用”以进行秘密扫描。如果您看到“禁用”按钮,则表示已为存储库启用秘密扫描。
有关如何在GitHub 的文档网站上为您的存储库启用秘密扫描的详细信息 以及有关秘密扫描功能的更多详细信息,阅读官方文档。
4 月,GitHub 还宣布它为 GitHub Advanced Security 客户扩展了秘密扫描功能,以 自动阻止包含暴露秘密 的提交,并防止在将代码提交到远程仓库之前意外泄露凭据。
暴露的凭据和秘密会导致严重的违规行为。
对于使用 GitHub 的组织和个人来说,启用秘密扫描是一种提高供应链安全性并保护自己免受意外泄露的简单方法。
