vlambda博客
学习文章列表

GitHub的秘密扫描功能可能暴露PyPI和RubyGems的密码

更多全球网络安全资讯尽在邑安全

GitHub 最近将其机密扫描功能扩展到包含 PyPI 和 RubyGems 注册表机密的存储库。

此举有助于保护由 Ruby 和 Python 开发人员构建的数百万个应用程序,这些开发人员可能无意中将机密和凭据提交到他们的公共 GitHub 存储库。

GitHub 现在将扫描 PyPI、RubyGems 的秘密

昨天,GitHub 宣布它现在将自动扫描暴露 PyPI 和 RubyGems 机密的存储库,例如凭据和 API 令牌。

要利用此功能,开发人员需要确保 为他们的存储库启用了GitHub 高级安全,这似乎是公共存储库的默认情况:

“对于 GitHub.com 上的公共存储库,这些功能是永久启用的,只有在您更改项目的可见性以使代码不再公开时才能禁用,”GitHub 表示。

类似于用户名和密码,秘密或令牌是人们在使用服务时可以用来验证自己的字符串。

依赖第三方 API 的应用程序经常在其代码中使用机密(私有 API 密钥)来访问 API 服务。

因此,人们必须小心不要泄露机密,因为这可能会导致更大的攻击,影响更广泛的软件供应链。

在此之前,GitHub 会扫描意外提交的 npm、NuGet 和 Clojars 等秘密。

正如BleepingComputer看到,有一个 广泛的名单 目前GitHub的高级安全支持超过70个不同类型的秘密的。

其中包括开源注册表(如 npm、PyPI、RubyGems、Nuget、Clojars 等)和非包管理服务(如 Adobe 和 OpenAI)的机密:

GitHub的秘密扫描功能可能暴露PyPI和RubyGems的密码

GitHub Advanced Security (GitHub)支持的机密类型 

当发现秘密时会发生什么?

当 GitHub 发现公共存储库中公开的密码、API 令牌、私有 SSH 密钥或其他受支持的机密时,它会通知注册表维护者。

例如,注册表维护者最近添加了 PyPI 和 RubyGems,然后会撤销公开的凭据,并向开发人员发送电子邮件解释原因:

来自 RubyGems 的示例电子邮件,提醒开发人员已撤销机密 (GitHub)

“在每种情况下,我们都会自动扫描对公共存储库或要点的每次提交,以查找可能泄露的凭据。”

GitHub 软件工程师 Annie Gesellchen 在昨天的博客文章中解释说:“如果我们找到了,我们会通知注册表,他们会自动撤销任何泄露的机密并通知其所有者。”

GitHub 与 RubyGems 和 PyPI 合作的优势在于,暴露的秘密会在几秒钟内以自动方式撤销,而不是等待开发人员采取手动操作。

正如 BleepingComputer 一次又一次地报道 [ 1 , 2 , 3 ],暴露的秘密和凭据已转化为成功的违规行为。

因此,自动秘密扫描使我们更接近于保护开发人员基础设施免受意外泄漏,并加强供应链安全。

原文来自: bleepingcomputer.com

原文链接: https://www.bleepingcomputer.com/news/security/github-now-scans-for-accidentally-exposed-pypi-rubygems-secrets/

欢迎收藏并分享朋友圈,让五邑人网络更安全

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1


2