社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
Py学习  »  Git

GitHub 默认启用推送保护机制以防止信息泄露

嘶吼专业版 • 1 年前 • 198 次点击  

GitHub 默认为所有公共存储库启用推送保护,以防止推送新代码时意外泄露访问令牌和 API 密钥等机密。这是一种自动防止敏感信息泄露的简单方法。该功能于 2023 年 5 月普遍适用于所有公共存储库。

推送保护通过在接受“git推送”操作之前扫描机密,并在检测到机密时阻止提交来主动防止泄漏。

GitHub 表示,秘密扫描功能通过发现来自 180 多个服务提供商的 200 多种令牌类型和模式(API 密钥、私钥、秘密密钥、身份验证令牌、访问令牌、管理证书、凭证等),自动防止秘密泄露。

“我们开始为所有用户推出推送保护。这意味着,当在公共存储库的任何推送中检测到受支持的机密时,您可以选择从提交中删除该机密,或者绕过封锁。”

即使所有公共存储库默认启用推送保护,GitHub 用户也可以绕过自动提交阻止。虽然不推荐,但他们可以在安全设置中完全停用推送保护。

推送保护的实际应用 

使用 GitHub Advanced Security,它可以保护私有存储库中的敏感信息,还添加了一套其他秘密扫描功能,以及代码扫描、人工智能驱动的代码建议和其他静态应用程序安全 (SAST) 功能。

Tooley 和 Claessens 表示:“API 密钥、令牌和其他机密的意外泄露可能会带来安全漏洞、声誉受损和法律责任,其规模之大令人咂舌。”

仅在 2024 年年初,GitHub 就在公共存储库上检测到了超过 100 万个泄露的机密。也就是说,每分钟就有十几起意外泄露。凭证和秘密泄露也因此导致了多起影响深远的数据泄露事件。

参考及来源:https://www.bleepingcomputer.com/news/security/github-enables-push-protection-by-default-to-stop-secrets-leak/

Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/168885
 
198 次点击