GitHub 默认为所有公共存储库启用推送保护,以防止推送新代码时意外泄露访问令牌和 API 密钥等机密。这是一种自动防止敏感信息泄露的简单方法。该功能于 2023 年 5 月普遍适用于所有公共存储库。
推送保护通过在接受“git推送”操作之前扫描机密,并在检测到机密时阻止提交来主动防止泄漏。
GitHub 表示,秘密扫描功能通过发现来自 180 多个服务提供商的 200 多种令牌类型和模式(API 密钥、私钥、秘密密钥、身份验证令牌、访问令牌、管理证书、凭证等),自动防止秘密泄露。
“我们开始为所有用户推出推送保护。这意味着,当在公共存储库的任何推送中检测到受支持的机密时,您可以选择从提交中删除该机密,或者绕过封锁。”
即使所有公共存储库默认启用推送保护,GitHub 用户也可以绕过自动提交阻止。虽然不推荐,但他们可以在安全设置中完全停用推送保护。
推送保护的实际应用
使用 GitHub Advanced Security,它可以保护私有存储库中的敏感信息,还添加了一套其他秘密扫描功能,以及代码扫描、人工智能驱动的代码建议和其他静态应用程序安全 (SAST) 功能。
Tooley 和 Claessens 表示:“API 密钥、令牌和其他机密的意外泄露可能会带来安全漏洞、声誉受损和法律责任,其规模之大令人咂舌。”
仅在 2024 年年初,GitHub 就在公共存储库上检测到了超过 100 万个泄露的机密。也就是说,每分钟就有十几起意外泄露。凭证和秘密泄露也因此导致了多起影响深远的数据泄露事件。
参考及来源:https://www.bleepingcomputer.com/news/security/github-enables-push-protection-by-default-to-stop-secrets-leak/
