导读 GitHub 的秘密扫描功能已经扩展到 GitHub 的四堵墙之外,现在包括对来自 AWS、微软、谷歌和 Slack 的精选令牌的有效性检查。该功能于
GitHub 的秘密扫描功能已经扩展到 GitHub 的四堵墙之外,现在包括对“来自 AWS、微软、谷歌和 Slack 的精选令牌”的有效性检查。
该功能于 2023 年 1 月推出,旨在通过检查令牌是否仍处于活动状态来降低密码和 API 密钥等凭证泄露的风险。
大约十个月前,微软旗下的公司承诺增加“100 多个秘密扫描合作伙伴”。
自2023年初以来,该公司已为公共存储库用户免费提供秘密扫描和秘密扫描推送保护,以帮助开源用户。
符合条件的帐户可以通过“设置”>“代码安全和分析”>“秘密扫描”启用秘密扫描,现在包括更多第三方服务,其中包含“通过将秘密发送给相关合作伙伴来自动验证秘密是否有效”选项。
GitHub 表示:“如果我们无法准确检测有效性(当在 GitHub.com 上找到的令牌属于 GitHub Enterprise Server 实例时可能会发生这种情况),我们将提供有关在何处寻找补救措施的见解。”
展望未来,该软件开发平台致力于在扩大其合作伙伴计划的同时支持更多代币。您可以在GitHub 支持页面上查看受支持令牌的进展情况。
秘密扫描的工作原理是定期在后台执行检查,但用户也可以选择运行手动检查以确保他们没有错过任何内容。
GitHub 在其最新的博客文章中表示:“在调查秘密扫描警报时,有效性检查是您可以使用的另一条信息。我们希望这一功能能够提高警报分类和补救工作的速度和效率。”