作为全球最大的代码托管平台，GitHub 承载着数以亿计的代码库。

【资料图】

不过，一直以来，有关“ Python、Docker 等 3.5 万个代码库被黑 ”、 “ 黑客盗用 OAuth 令牌，导致数十个组织数据泄露 ”等安全事件层出不穷，让人焦虑。

甚至 在 2019 年，北卡罗来纳州立大学（NCSU）展开了一项学术研究，其在六个月期间扫描了 GitHub 公共代码库总数中 13% 的文件，文件数量高达数十亿个，结果发现其中有超过 100000 个代码库泄露了 API 令牌和加密密钥，每天数千个新的代码库在泄露新的秘密内容。

来源：https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_04B-3_Meli_paper.pdf

最终，GitHub 官方出手了！继 2022 年 4 月为 GitHub Advanced Security（GHAS，GitHub 高级安全性） 用户发布秘密扫描的推送保护功能预览版之后，于近日发布正式版。

现如今，GitHub 可以自动阻止所有公共代码存储库的 API 密钥和访问令牌等敏感信息的泄露，也将面向所有公共存储库提供免费的推送保护功能。

GitHub 为安全出手！

所谓的推送保护功能，具体是指通过在开发者提交代码之前扫描高度可识别的秘密，防止秘密泄漏，同时不会影响开发人员的使用体验。

GitHub 的推送保护功能适用于检测 69 种令牌类型，如 API 密钥、私钥、秘密密钥、身份验证令牌、访问令牌、管理证书、凭据等，具有较低的“误报”检测率。

在公告中，GitHub 写道：“如果你推送包含秘密的提交，推送保护提示将出现，其中包含有关秘密类型、位置以及如何修复暴露的信息。”

简单来看，当在代码中检测到秘密时，GitHub 会直接给出警示，开发人员将直接在他们的集成开发环境（IDE）或命令行界面中收到修复指南的提示，以确保秘密永远不 会被暴露。

据 GitHub 称，自推送保护功能测试版发布以来，启用它的软件开发人员成功避免了大约 17,000 起敏感信息的意外泄露，节省了超过 95,000 个小时，这些时间本可以用于撤销、修复受损的秘密。

如何在 GitHub 上开启秘密扫描功能，保护我方的代码安全？

根据 GitHub 介绍，具有 GitHub Advanced Security 的组织可以通过 API 在存储库和组织级别中启用秘密扫描推送保护功能，或者只需从用户界面单击一下即可。

具体操作如下：

进入 GitHub.com 页面，导航到组织的主页。

在组织名称下，点击——设置。

在边栏的“安全”部分，单击——代码安全和分析。

在“配置代码安全性和分析”下，找到“GitHub 高级安全性”。

在“秘密扫描”下，单击“推送保护”旁边的全部启用按钮。

或者，单击“自动启用添加到秘密扫描的私有存储库”。

也可以通过从每个存储库的“设置” - “ 安全和分析” - “GitHub 高级安全”对话框中切换它来为单个存储库启用它。

你学会了吗？

更多细节内容可查看官方公告： https://github.blog/2023-05-09-push-protection-is-generally-available-and-free-for-all-public-repositories/

标签：