[[404946]]

GitHub 最近將其機密掃描功能擴展到包含 PyPI 和 RubyGems 注冊表機密的存儲庫，以防止 Ruby 和 Python 開發(fā)人員無意中將機密和憑據(jù)提交到他們的 GitHub 存儲庫。

機密(secret)，也被稱為令牌，是用于驗證的唯一字符串。在編寫軟件時，開發(fā)人員通常會利用一些第三方軟件來避免 “重復(fù)造輪子”。有時，第三方軟件可以導(dǎo)入到代碼中，但必須與外部服務(wù)進(jìn)行溝通才能使用。此時就需要機密來進(jìn)行驗證，類似于使用用戶名和密碼來登錄一個賬戶。例如，在 GitHub 上，如果用戶想使用 API 對其賬戶或存儲庫進(jìn)行修改，就需要生成一個個人訪問令牌。

而 GitHub 機密掃描是一項掃描倉庫推送的服務(wù)，搜索可能暴露的機密，以保證用戶的代碼和第三方賬戶的安全。公共倉庫會自動進(jìn)行掃描，私有倉庫需要手動啟用這項服務(wù)。目前，GitHub 已經(jīng)與 40 多家云計算供應(yīng)商合作，掃描 70 多種不同的機密類型。當(dāng)其發(fā)現(xiàn)一個機密時，會把它直接發(fā)送給第三方云供應(yīng)商進(jìn)行撤銷或者通知倉庫所屬用戶。

根據(jù)官方公告，GitHub 機密掃描最近增加了對 RubyGems 和 PyPI 機密的支持，并且也掃描 npm、NuGet 和 Clojars 的機密。以 RubyGems 為例，如果用戶將 RubyGems 的 API 密鑰提交到一個公共倉庫，GitHub 的機密掃描在自動掃描該提交時會發(fā)現(xiàn)該機密并通知 RubyGems 泄漏。然后 RubyGems 會撤銷該機密，并向用戶發(fā)送一封電子郵件，通知其該機密已被泄露。

GitHub 表示，其接下來將繼續(xù)增加對新的機密類型的支持(針對任何云提供商，而不僅僅是包管理服務(wù))，比如最近新增的非軟件包管理服務(wù) Adobe 和 OpenAI 。關(guān)于 GitHub 機密掃描的詳細(xì)內(nèi)容，可以查看官方文檔。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：GitHub 機密掃描現(xiàn)在支持 PyPI 和 RubyGems

本文地址：https://www.oschina.net/news/145435/github-secret-scan-support-pypl-and-rubygems