[[404946]]

GitHub 最近將其機(jī)密掃描功能擴(kuò)展到包含 PyPI 和 RubyGems 注冊表機(jī)密的存儲(chǔ)庫，以防止 Ruby 和 Python 開發(fā)人員無意中將機(jī)密和憑據(jù)提交到他們的 GitHub 存儲(chǔ)庫。

機(jī)密(secret)，也被稱為令牌，是用于驗(yàn)證的唯一字符串。在編寫軟件時(shí)，開發(fā)人員通常會(huì)利用一些第三方軟件來避免 “重復(fù)造輪子”。有時(shí)，第三方軟件可以導(dǎo)入到代碼中，但必須與外部服務(wù)進(jìn)行溝通才能使用。此時(shí)就需要機(jī)密來進(jìn)行驗(yàn)證，類似于使用用戶名和密碼來登錄一個(gè)賬戶。例如，在 GitHub 上，如果用戶想使用 API 對其賬戶或存儲(chǔ)庫進(jìn)行修改，就需要生成一個(gè)個(gè)人訪問令牌。

而 GitHub 機(jī)密掃描是一項(xiàng)掃描倉庫推送的服務(wù)，搜索可能暴露的機(jī)密，以保證用戶的代碼和第三方賬戶的安全。公共倉庫會(huì)自動(dòng)進(jìn)行掃描，私有倉庫需要手動(dòng)啟用這項(xiàng)服務(wù)。目前，GitHub 已經(jīng)與 40 多家云計(jì)算供應(yīng)商合作，掃描 70 多種不同的機(jī)密類型。當(dāng)其發(fā)現(xiàn)一個(gè)機(jī)密時(shí)，會(huì)把它直接發(fā)送給第三方云供應(yīng)商進(jìn)行撤銷或者通知倉庫所屬用戶。

根據(jù)官方公告，GitHub 機(jī)密掃描最近增加了對 RubyGems 和 PyPI 機(jī)密的支持，并且也掃描 npm、NuGet 和 Clojars 的機(jī)密。以 RubyGems 為例，如果用戶將 RubyGems 的 API 密鑰提交到一個(gè)公共倉庫，GitHub 的機(jī)密掃描在自動(dòng)掃描該提交時(shí)會(huì)發(fā)現(xiàn)該機(jī)密并通知 RubyGems 泄漏。然后 RubyGems 會(huì)撤銷該機(jī)密，并向用戶發(fā)送一封電子郵件，通知其該機(jī)密已被泄露。

GitHub 表示，其接下來將繼續(xù)增加對新的機(jī)密類型的支持(針對任何云提供商，而不僅僅是包管理服務(wù))，比如最近新增的非軟件包管理服務(wù) Adobe 和 OpenAI 。關(guān)于 GitHub 機(jī)密掃描的詳細(xì)內(nèi)容，可以查看官方文檔。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：GitHub 機(jī)密掃描現(xiàn)在支持 PyPI 和 RubyGems

本文地址：https://www.oschina.net/news/145435/github-secret-scan-support-pypl-and-rubygems