GitHub机密扫描现在支持PyPI和RubyGems

GitHub 最近将其机密扫描功能扩展到包含 PyPI 和 RubyGems 注册表机密的存储库，以防止 Ruby 和 Python 开发人员无意中将机密和凭据提交到他们的 GitHub 存储库。

机密(secret)，也被称为令牌，是用于验证的唯一字符串。在编写软件时，开发人员通常会利用一些第三方软件来避免 “重复造轮子”。有时，第三方软件可以导入到代码中，但必须与外部服务进行沟通才能使用。此时就需要机密来进行验证，类似于使用用户名和密码来登录一个账户。例如，在 GitHub 上，如果用户想使用 API 对其账户或存储库进行修改，就需要生成一个个人访问令牌。

而 GitHub 机密扫描是一项扫描仓库推送的服务，搜索可能暴露的机密，以保证用户的代码和第三方账户的安全。公共仓库会自动进行扫描，私有仓库需要手动启用这项服务。目前，GitHub 已经与 40 多家云计算供应商合作，扫描 70 多种不同的机密类型。当其发现一个机密时，会把它直接发送给第三方云供应商进行撤销或者通知仓库所属用户。

根据官方公告，GitHub 机密扫描最近增加了对 RubyGems 和 PyPI 机密的支持，并且也扫描 npm、NuGet 和 Clojars 的机密。以 RubyGems 为例，如果用户将 RubyGems 的 API 密钥提交到一个公共仓库，GitHub 的机密扫描在自动扫描该提交时会发现该机密并通知 RubyGems 泄漏。然后 RubyGems 会撤销该机密，并向用户发送一封电子邮件，通知其该机密已被泄露。

GitHub 表示，其接下来将继续增加对新的机密类型的支持(针对任何云提供商，而不仅仅是包管理服务)，比如最近新增的非软件包管理服务 Adobe 和 OpenAI 。关于 GitHub 机密扫描的详细内容，可以查看官方文档。

本文转自OSCHINA

本文标题：GitHub 机密扫描现在支持 PyPI 和 RubyGems

分享题目：GitHub机密扫描现在支持PyPI和RubyGems
标题网址：http://www.shufengxianlan.com/qtweb/news14/345064.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联