GitHub现在逐步向公开存储库推送秘密扫描功能,用户将可以在秘密泄露时获得警报,GitHub也会通知其合作伙伴以采取保护措施。
官方提到,秘密和凭证外泄是资料泄露最常见的原因。GitHub与服务供应商合作,通过秘密扫描合作伙伴计划,扫描存储库中200多种权限格式,标记所有公开存储库中泄露的凭证,并通知秘密扫描合作伙伴,采取积极保护措施。光在2022年,GitHub就已经向秘密扫描合作伙伴,通报超过170万个公开存储库中潜在的秘密,避免这些权限遭到滥用。
而GitHub现在针对公开存储库,推出机密扫描公开测试版本,并预计在2023年1月底,扩展至所有用户。一旦存储库获得机密扫描警报功能,便可以在程序代码安全和分析配置中,从存储库的配置中激活,并在存储库的安全标签里的漏洞察报面板,查看系统侦测到的秘密。
秘密扫描警报在侦测到用户泄露的权限,除了会通知用户,同时也会通知秘密扫描合作伙伴,以迅速采取保护措施,当然,在GitHub无法通知合作伙伴的情况下,像是自托管的HashiCorp Vault密钥泄露,用户仍会收到机密警报。
用户随时都可以关注所有警报,并且深入了解泄露来源,并且对警报采取审核行动。GitHub表示,在公开存储库中使用秘密扫描警报,能够让用户更有自信地构建开源项目。
除了秘密扫描警报功能,GitHub也推出了其他两项小更新,其一是GitHub企业云休眠用户报告现在正式上线,该报告可以显示90天内未活动的企业成员。另外,在私有存储库可重用工作流程,现在能够和同一组织、用户账户或是其他有私存储库共享。