GitHub公開儲存庫現在也可以使用秘密掃描功能

GitHub現在逐步向公開儲存庫推送秘密掃描功能，用戶將可以在秘密洩漏時獲得警報，GitHub也會通知其合作夥伴以採取保護措施。

官方提到，秘密和憑證外洩是資料洩漏最常見的原因。GitHub與服務供應商合作，透過秘密掃描合作夥伴計畫，掃描儲存庫中200多種權杖格式，標記所有公開儲存庫中洩漏的憑證，並通知秘密掃描合作夥伴，採取積極保護措施。光在2022年，GitHub就已經向秘密掃描合作夥伴，通報超過170萬個公開儲存庫中潛在的秘密，避免這些權杖遭到濫用。

而GitHub現在針對公開儲存庫，推出機密掃描公開測試版本，並預計在2023年1月底，擴展至所有用戶。一旦儲存庫獲得機密掃描警報功能，便可以在程式碼安全和分析配置中，從儲存庫的配置中啟用，並在儲存庫的安全頁籤裡的漏洞警報面板，查看系統偵測到的秘密。

秘密掃描警報在偵測到用戶洩漏的權杖，除了會通知用戶，同時也會通知秘密掃瞄合作夥伴，以迅速採取保護措施，當然，在GitHub無法通知合作夥伴的情況下，像是自託管的HashiCorp Vault金鑰洩漏，用戶仍會收到機密警報。

用戶隨時都可以追蹤所有警報，並且深入了解洩漏來源，並且對警報採取稽核行動。GitHub表示，在公開儲存庫中使用秘密掃描警報，能夠讓用戶更有自信地建構開源專案。

除了秘密掃描警報功能，GitHub也推出了其他兩項小更新，其一是GitHub企業雲休眠用戶報告現在正式上線，該報告可以顯示90天內未活動的企業成員。另外，在私有儲存庫可重用工作流程，現在能夠和同一組織、使用者帳戶或是其他有私儲存庫共享。