服务器之家

服务器之家 > 正文

GitHub 机密扫描现在支持 PyPI 和 RubyGems

时间:2021-06-10 23:20     来源/作者:开源中国

GitHub 机密扫描现在支持 PyPI 和 RubyGems

GitHub 最近将其机密扫描功能扩展到包含 PyPIRubyGems 注册表机密的存储库,以防止 Ruby 和 Python 开发人员无意中将机密和凭据提交到他们的 GitHub 存储库。

GitHub 机密扫描现在支持 PyPI 和 RubyGems

机密(secret),也被称为令牌,是用于验证的唯一字符串。在编写软件时,开发人员通常会利用一些第三方软件来避免 “重复造轮子”。有时,第三方软件可以导入到代码中,但必须与外部服务进行沟通才能使用。此时就需要机密来进行验证,类似于使用用户名和密码来登录一个账户。例如,在 GitHub 上,如果用户想使用 API 对其账户或存储库进行修改,就需要生成一个个人访问令牌。

而 GitHub 机密扫描是一项扫描仓库推送的服务,搜索可能暴露的机密,以保证用户的代码和第三方账户的安全。公共仓库会自动进行扫描,私有仓库需要手动启用这项服务。目前,GitHub 已经与 40 多家云计算供应商合作,扫描 70 多种不同的机密类型。当其发现一个机密时,会把它直接发送给第三方云供应商进行撤销或者通知仓库所属用户。

根据官方公告,GitHub 机密扫描最近增加了对 RubyGems 和 PyPI 机密的支持,并且也扫描 npm、NuGet 和 Clojars 的机密。以 RubyGems 为例,如果用户将 RubyGems 的 API 密钥提交到一个公共仓库,GitHub 的机密扫描在自动扫描该提交时会发现该机密并通知 RubyGems 泄漏。然后 RubyGems 会撤销该机密,并向用户发送一封电子邮件,通知其该机密已被泄露。

GitHub 机密扫描现在支持 PyPI 和 RubyGems

GitHub 表示,其接下来将继续增加对新的机密类型的支持(针对任何云提供商,而不仅仅是包管理服务),比如最近新增的非软件包管理服务 Adobe 和 OpenAI 。关于 GitHub 机密扫描的详细内容,可以查看官方文档。

标签:

相关文章

热门资讯

2020微信伤感网名听哭了 让对方看到心疼的伤感网名大全
2020微信伤感网名听哭了 让对方看到心疼的伤感网名大全 2019-12-26
yue是什么意思 网络流行语yue了是什么梗
yue是什么意思 网络流行语yue了是什么梗 2020-10-11
背刺什么意思 网络词语背刺是什么梗
背刺什么意思 网络词语背刺是什么梗 2020-05-22
苹果12mini价格表官网报价 iPhone12mini全版本价格汇总
苹果12mini价格表官网报价 iPhone12mini全版本价格汇总 2020-11-13
2021德云社封箱演出完整版 2021年德云社封箱演出在线看
2021德云社封箱演出完整版 2021年德云社封箱演出在线看 2021-03-15
返回顶部