GitHub上周宣布提供免费扫描工具,可帮助开发人员避免经由程序代码泄露登录凭证。此外GitHub再添加5类用户,要求在2023年3月底前强制激活双重验证(2FA)。
GitHub之前经由登录凭证扫描合作方案,和服务供应商合作,识别所有公开存储库内泄露的密码或凭证,以保护双方共同客户。今年他们扫描了公开存储的200多个令牌(token)格式,最后通知合作的供应商,有170多万个可能从公开存储库泄露的密码或凭证。现在GitHub将这套工具开放所有免费公开的存储库使用。
这工具会在扫描到程序代码有密码、密钥或凭证时,直接通知存储库持有者。GitHub表示,他们原先通知服务合作伙伴的工作仍然会持续,但直接通知存储库管理员可使其得知安全性的全貌。而且,即使GitHub无法通知合作伙伴的情况,像是存储库自行管理的HashCorp Vault内的密钥外泄,管理员就能获得通知。管理员可以点入通知查看外泄的来源,以及审核采取的行为正确与否。
GitHub会陆续将这工具开放给所有公开存储库,预计在2023年1月底以前让所有用户可享受这项功能。
一旦存储库得以使用扫描通知功能后,可在设置区的“程序代码安全及分析”设置区激活。其中的“安全”页、“漏洞察告”下的侧边菜单中选择“凭证扫描”可看到侦测的密码或凭证,用户可点击通知查看哪些密码或凭证外泄了、位置何在,以及建议的修复措施。
图片来源/GitHub
GitHub上周也公布高端安全工具,已经定义了自订凭证样态的存储库用户可以启动推送保护(push protection)。这功能允许用户以存储库、组织或企业层级定义样态(pattern)。激活推送保护后,一旦有贡献者试图将符合样态的凭证推送到程序代码内,就会遭到GitHub的阻挡。
图片来源/GitHub
GitHub表示,高端安全功能4月间发布第一版时,其推送防护已经阻挡了100种凭证共8,000多项凭证免于外泄。
GitHub也号召服务供应商加入其扫描合作伙伴方案,目前其方案已有100多家供应商。
5类用户被强制要求激活2FA
此外,继今年5月的预告后,GitHub上周再次重申将在2023年全面强制实施双重验证(2FA)。一如计划,GitHub已展开要求相依模块超过500个或每周下载次数超过100万的组件强制激活2FA。
图片来源/GitHub
接下来,GitHub将要求自2023年3月开始,以下特定群组必须激活2FA。包括出版GitHub或OAuth App或组件的用户、添加release的用户、企业或组织管理员、贡献程序代码到npm、OpenSSF、PyPI、RubbyGems认为很重要的存储库的用户、贡献程序代码到排名前400万的公开、或私有存储库的用户。
这些用户会接获GitHub电子邮件通知,要求在45天内完成激活2FA。过了这期限,登录的用户会接到提示消息一个星期,若置之不理,就会被GitHub阻挡访问。至于用户担心可能因休假而被封锁,GitHub表示,这一个星期的提示会期限过后登录才生效,若未登录则不会启动封锁倒数。