GitHub的秘密扫描功能可能暴露PyPI和RubyGems的密码
Posted 邑安全
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了GitHub的秘密扫描功能可能暴露PyPI和RubyGems的密码相关的知识,希望对你有一定的参考价值。
更多全球网络安全资讯尽在邑安全
GitHub 最近将其机密扫描功能扩展到包含 PyPI 和 RubyGems 注册表机密的存储库。
此举有助于保护由 Ruby 和 Python 开发人员构建的数百万个应用程序,这些开发人员可能无意中将机密和凭据提交到他们的公共 GitHub 存储库。
GitHub 现在将扫描 PyPI、RubyGems 的秘密
昨天,GitHub 宣布它现在将自动扫描暴露 PyPI 和 RubyGems 机密的存储库,例如凭据和 API 令牌。
要利用此功能,开发人员需要确保 为他们的存储库启用了GitHub 高级安全,这似乎是公共存储库的默认情况:
“对于 GitHub.com 上的公共存储库,这些功能是永久启用的,只有在您更改项目的可见性以使代码不再公开时才能禁用,”GitHub 表示。
类似于用户名和密码,秘密或令牌是人们在使用服务时可以用来验证自己的字符串。
依赖第三方 API 的应用程序经常在其代码中使用机密(私有 API 密钥)来访问 API 服务。
因此,人们必须小心不要泄露机密,因为这可能会导致更大的攻击,影响更广泛的软件供应链。
在此之前,GitHub 会扫描意外提交的 npm、NuGet 和 Clojars 等秘密。
正如BleepingComputer看到,有一个 广泛的名单 目前GitHub的高级安全支持超过70个不同类型的秘密的。
其中包括开源注册表(如 npm、PyPI、RubyGems、Nuget、Clojars 等)和非包管理服务(如 Adobe 和 OpenAI)的机密:
当发现秘密时会发生什么?
当 GitHub 发现公共存储库中公开的密码、API 令牌、私有 SSH 密钥或其他受支持的机密时,它会通知注册表维护者。
例如,注册表维护者最近添加了 PyPI 和 RubyGems,然后会撤销公开的凭据,并向开发人员发送电子邮件解释原因:
“在每种情况下,我们都会自动扫描对公共存储库或要点的每次提交,以查找可能泄露的凭据。”
GitHub 软件工程师 Annie Gesellchen 在昨天的博客文章中解释说:“如果我们找到了,我们会通知注册表,他们会自动撤销任何泄露的机密并通知其所有者。”
GitHub 与 RubyGems 和 PyPI 合作的优势在于,暴露的秘密会在几秒钟内以自动方式撤销,而不是等待开发人员采取手动操作。
正如 BleepingComputer 一次又一次地报道 [ 1 , 2 , 3 ],暴露的秘密和凭据已转化为成功的违规行为。
因此,自动秘密扫描使我们更接近于保护开发人员基础设施免受意外泄漏,并加强供应链安全。
原文来自: bleepingcomputer.com
原文链接: https://www.bleepingcomputer.com/news/security/github-now-scans-for-accidentally-exposed-pypi-rubygems-secrets/
推荐文章
1
2
以上是关于GitHub的秘密扫描功能可能暴露PyPI和RubyGems的密码的主要内容,如果未能解决你的问题,请参考以下文章
GitHub 官宣微信成为“秘密扫描”合作伙伴,网友:“换个叫法不好吗?”
GitHub 官宣微信成为“秘密扫描”合作伙伴,网友:“换个叫法不好吗?”
蔚来用户数据遭窃取,被勒索225万美元 ;英国银行因IT系统宕机被罚4900万英镑;微信成GitHub秘密扫描合作伙伴|极客头条
蔚来用户数据遭窃取,被勒索225万美元 ;英国银行因IT系统宕机被罚4900万英镑;微信成GitHub秘密扫描合作伙伴|极客头条...