GitHub的秘密扫描功能可能暴露PyPI和RubyGems的密码

更多全球网络安全资讯尽在邑安全

GitHub 最近将其机密扫描功能扩展到包含 PyPI 和 RubyGems 注册表机密的存储库。

此举有助于保护由 Ruby 和 Python 开发人员构建的数百万个应用程序，这些开发人员可能无意中将机密和凭据提交到他们的公共 GitHub 存储库。

GitHub 现在将扫描 PyPI、RubyGems 的秘密

昨天，GitHub 宣布它现在将自动扫描暴露 PyPI 和 RubyGems 机密的存储库，例如凭据和 API 令牌。

要利用此功能，开发人员需要确保为他们的存储库启用了GitHub 高级安全，这似乎是公共存储库的默认情况：

“对于 GitHub.com 上的公共存储库，这些功能是永久启用的，只有在您更改项目的可见性以使代码不再公开时才能禁用，”GitHub 表示。

类似于用户名和密码，秘密或令牌是人们在使用服务时可以用来验证自己的字符串。

依赖第三方 API 的应用程序经常在其代码中使用机密（私有 API 密钥）来访问 API 服务。

因此，人们必须小心不要泄露机密，因为这可能会导致更大的攻击，影响更广泛的软件供应链。

在此之前，GitHub 会扫描意外提交的 npm、NuGet 和 Clojars 等秘密。

正如BleepingComputer看到，有一个广泛的名单目前GitHub的高级安全支持超过70个不同类型的秘密的。

其中包括开源注册表（如 npm、PyPI、RubyGems、Nuget、Clojars 等）和非包管理服务（如 Adobe 和 OpenAI）的机密：

GitHub的秘密扫描功能可能暴露PyPI和RubyGems的密码

GitHub Advanced Security (GitHub)支持的机密类型

当 GitHub 发现公共存储库中公开的密码、API 令牌、私有 SSH 密钥或其他受支持的机密时，它会通知注册表维护者。

例如，注册表维护者最近添加了 PyPI 和 RubyGems，然后会撤销公开的凭据，并向开发人员发送电子邮件解释原因：

来自 RubyGems 的示例电子邮件，提醒开发人员已撤销机密 (GitHub)

“在每种情况下，我们都会自动扫描对公共存储库或要点的每次提交，以查找可能泄露的凭据。”

GitHub 软件工程师 Annie Gesellchen 在昨天的博客文章中解释说：“如果我们找到了，我们会通知注册表，他们会自动撤销任何泄露的机密并通知其所有者。”

GitHub 与 RubyGems 和 PyPI 合作的优势在于，暴露的秘密会在几秒钟内以自动方式撤销，而不是等待开发人员采取手动操作。

正如 BleepingComputer 一次又一次地报道 [ 1 , 2 , 3 ]，暴露的秘密和凭据已转化为成功的违规行为。

因此，自动秘密扫描使我们更接近于保护开发人员基础设施免受意外泄漏，并加强供应链安全。

原文来自: bleepingcomputer.com

原文链接: https://www.bleepingcomputer.com/news/security/github-now-scans-for-accidentally-exposed-pypi-rubygems-secrets/

欢迎收藏并分享朋友圈，让五邑人网络更安全

欢迎扫描关注我们，及时了解最新安全动态、学习最潮流的安全姿势！