秘密掃描計劃(Secret scanning program)是 GitHub 推出的一項服務(wù)，GitHub 通過與倉庫所有者展開合作，對倉庫進行秘密掃描以保護秘密令牌格式的安全，該掃描將搜索意外提交的令牌格式。此舉可以防止因欺詐性目的而意外使用了錯誤的提交。

[[390243]]

近日，GitHub 宣布與 Python Package Index(PyPI)展開合作，幫助保護用戶免受 PyPI API 令牌的泄露所產(chǎn)生的侵害。

根據(jù)公告，從現(xiàn)在開始，GitHub 將掃描公共倉庫的每一次提交，以尋找暴露的 PyPI API 令牌。它將把發(fā)現(xiàn)的任何令牌轉(zhuǎn)發(fā)給 PyPI，PyPI 在此過程中將自動禁用它們并通知它們的所有者。這個端到端過程只需要幾秒鐘。

GitHub 表示，PyPI 是加入 GitHub 秘密掃描計劃的又一個集成商。自 2018 年以來，GitHub 已經(jīng)與 35 家令牌發(fā)行商合作以幫助他們保護客戶的安全。與此同時，GitHub 也歡迎更多的集成商加入他們的計劃對公共倉庫進行秘密掃描。

如何加入秘密掃描計劃：

• 聯(lián)系 GitHub 以啟動流程;
• 確定要掃描的相關(guān)秘密，并創(chuàng)建正則表達式來捕獲它們;
• 針對在公共倉庫中發(fā)現(xiàn)的秘密匹配項，創(chuàng)建一個秘密警報服務(wù)，以便從 GitHub 接受包含秘密掃描消息有效負載的 web hooks;
• 在秘密警報服務(wù)中實施簽名驗證;
• 在秘密警報服務(wù)中實施秘密撤銷和用戶通知;
• 提供誤報的反饋(可選)。

不僅如此，GitHub 高級安全(Advanced Security)客戶現(xiàn)在還可以掃描他們的私人倉庫，以防止泄漏。

本文轉(zhuǎn)自O(shè)SCHINA

本文標題：PyPl 加入 GitHub 秘密掃描計劃

本文地址：https://www.oschina.net/news/134962/pypl-joins-secret-scanning