GitHub現在逐步向公開儲存庫推送秘密掃描功能,用戶將可以在秘密洩漏時獲得警報,GitHub也會通知其合作夥伴以採取保護措施。

官方提到,秘密和憑證外洩是資料洩漏最常見的原因。GitHub與服務供應商合作,透過秘密掃描合作夥伴計畫,掃描儲存庫中200多種權杖格式,標記所有公開儲存庫中洩漏的憑證,並通知秘密掃描合作夥伴,採取積極保護措施。光在2022年,GitHub就已經向秘密掃描合作夥伴,通報超過170萬個公開儲存庫中潛在的秘密,避免這些權杖遭到濫用。

而GitHub現在針對公開儲存庫,推出機密掃描公開測試版本,並預計在2023年1月底,擴展至所有用戶。一旦儲存庫獲得機密掃描警報功能,便可以在程式碼安全和分析配置中,從儲存庫的配置中啟用,並在儲存庫的安全頁籤裡的漏洞警報面板,查看系統偵測到的秘密。

秘密掃描警報在偵測到用戶洩漏的權杖,除了會通知用戶,同時也會通知秘密掃瞄合作夥伴,以迅速採取保護措施,當然,在GitHub無法通知合作夥伴的情況下,像是自託管的HashiCorp Vault金鑰洩漏,用戶仍會收到機密警報。

用戶隨時都可以追蹤所有警報,並且深入了解洩漏來源,並且對警報採取稽核行動。GitHub表示,在公開儲存庫中使用秘密掃描警報,能夠讓用戶更有自信地建構開源專案。

除了秘密掃描警報功能,GitHub也推出了其他兩項小更新,其一是GitHub企業雲休眠用戶報告現在正式上線,該報告可以顯示90天內未活動的企業成員。另外,在私有儲存庫可重用工作流程,現在能夠和同一組織、使用者帳戶或是其他有私儲存庫共享。

熱門新聞

Advertisement