秘密掃描計(jì)劃(Secret scanning program)是 GitHub 推出的一項(xiàng)服務(wù)，GitHub 通過與倉(cāng)庫(kù)所有者展開合作，對(duì)倉(cāng)庫(kù)進(jìn)行秘密掃描以保護(hù)秘密令牌格式的安全，該掃描將搜索意外提交的令牌格式。此舉可以防止因欺詐性目的而意外使用了錯(cuò)誤的提交。

[[390243]]

近日，GitHub 宣布與 Python Package Index(PyPI)展開合作，幫助保護(hù)用戶免受 PyPI API 令牌的泄露所產(chǎn)生的侵害。

根據(jù)公告，從現(xiàn)在開始，GitHub 將掃描公共倉(cāng)庫(kù)的每一次提交，以尋找暴露的 PyPI API 令牌。它將把發(fā)現(xiàn)的任何令牌轉(zhuǎn)發(fā)給 PyPI，PyPI 在此過程中將自動(dòng)禁用它們并通知它們的所有者。這個(gè)端到端過程只需要幾秒鐘。

GitHub 表示，PyPI 是加入 GitHub 秘密掃描計(jì)劃的又一個(gè)集成商。自 2018 年以來，GitHub 已經(jīng)與 35 家令牌發(fā)行商合作以幫助他們保護(hù)客戶的安全。與此同時(shí)，GitHub 也歡迎更多的集成商加入他們的計(jì)劃對(duì)公共倉(cāng)庫(kù)進(jìn)行秘密掃描。

如何加入秘密掃描計(jì)劃：

• 聯(lián)系 GitHub 以啟動(dòng)流程;
• 確定要掃描的相關(guān)秘密，并創(chuàng)建正則表達(dá)式來捕獲它們;
• 針對(duì)在公共倉(cāng)庫(kù)中發(fā)現(xiàn)的秘密匹配項(xiàng)，創(chuàng)建一個(gè)秘密警報(bào)服務(wù)，以便從 GitHub 接受包含秘密掃描消息有效負(fù)載的 web hooks;
• 在秘密警報(bào)服務(wù)中實(shí)施簽名驗(yàn)證;
• 在秘密警報(bào)服務(wù)中實(shí)施秘密撤銷和用戶通知;
• 提供誤報(bào)的反饋(可選)。

不僅如此，GitHub 高級(jí)安全(Advanced Security)客戶現(xiàn)在還可以掃描他們的私人倉(cāng)庫(kù)，以防止泄漏。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：PyPl 加入 GitHub 秘密掃描計(jì)劃

本文地址：https://www.oschina.net/news/134962/pypl-joins-secret-scanning