GitHub 宣布將向更多用戶提供其秘密掃描功能，以幫助公共存儲(chǔ)庫(kù)管理員在發(fā)生違規(guī)行為之前檢測(cè)其存儲(chǔ)庫(kù)中泄露的秘密。

此次發(fā)布是秘密掃描合作伙伴計(jì)劃的一部分，該計(jì)劃旨在通知 100 多家服務(wù)提供商公共存儲(chǔ)庫(kù)中的令牌暴露情況。

該功能以前僅適用于具有 GitHub Advanced Security 的組織，但現(xiàn)在所有公共存儲(chǔ)庫(kù)的管理員都可以使用。

Github 秘密掃描

Github 聲稱可以掃描 200 多種令牌格式(如 API 密鑰和身份驗(yàn)證令牌)，通常平均需要 327 天才能識(shí)別這些格式，并且已經(jīng)通知其合作伙伴公共存儲(chǔ)庫(kù)中有 170 萬(wàn)個(gè)潛在的秘密曝光。

推出已經(jīng)以測(cè)試版形式開(kāi)始，GitHub 希望其所有成員都能在 2023 年 1 月底之前訪問(wèn)。該公司還指出了一個(gè)討論板(在新標(biāo)簽頁(yè)中打開(kāi))用戶可以在其中請(qǐng)求搶先體驗(yàn)或更詳細(xì)地討論產(chǎn)品。

“一旦秘密掃描警報(bào)在您的存儲(chǔ)庫(kù)中可用，您就可以在存儲(chǔ)庫(kù)的“代碼安全和分析”設(shè)置下的設(shè)置中啟用它們，”公司博客上的一個(gè)條目(在新標(biāo)簽頁(yè)中打開(kāi))著名的。

“您可以通過(guò)導(dǎo)航到存儲(chǔ)庫(kù)的“安全”選項(xiàng)卡并在“漏洞警報(bào)”下方的側(cè)面板中選擇“秘密掃描”來(lái)查看任何檢測(cè)到的秘密。在那里，您將看到所有檢測(cè)到的秘密列表，您可以單擊任何警報(bào)以顯示泄露的秘密、其位置和建議的補(bǔ)救措施。”

GitHub 2FA

為了強(qiáng)調(diào)其對(duì)安全的承諾，GitHub 還宣布將要求所有貢獻(xiàn)代碼的用戶在 2023 年底之前在其帳戶上設(shè)置雙因素身份驗(yàn)證 (2FA)，這將影響大約 9400 萬(wàn)用戶。

一組選定的用戶將在 2023 年 3 月首先收到此強(qiáng)制驗(yàn)證的通知，這將為 GitHub 將其推送到其整個(gè)用戶群之前提供評(píng)估基礎(chǔ)。