导读 GitHub的秘密扫描警报功能于2022年12月以公开测试版形式推出,现在在所有公共存储库中普遍免费提供。在博客文章中(在新标签页中打开),开发
GitHub的秘密扫描警报功能于2022年12月以公开测试版形式推出,现在在所有公共存储库中普遍免费提供。
在博客文章中(在新标签页中打开),开发者平台指出,70,000个公共存储库在测试期间开启了秘密扫描警报,因此完整版本将受到全球许多开发者的欢迎。
GitHub表示,你可以在你拥有的公共存储库中启用该功能,以帮助通知你代码、问题、描述和评论中泄露的秘密。
“启用秘密扫描警报后,您现在还会收到无法通知合作伙伴的秘密警报——例如,如果自托管密钥暴露——以及对警报采取的操作的完整审计日志,”Github指出。
该平台指出一位经验丰富的开发人员使用该工具扫描了14,000个公共GitHubAction存储库,结果发现了1,000多个秘密,显示了它们是多么容易错过,因此该工具的重要性。
支持文件(在新标签页中打开)解释开发人员何时可能想要使用该工具:
“如果你将秘密签入存储库,任何对存储库具有读取权限的人都可以使用该秘密以你的权限访问外部服务。”
这些可以包括从API密钥到密码、身份验证令牌和任何其他敏感信息的任何内容。
“秘密扫描”可以在“设置”>“代码安全和分析”>“安全”下找到,可以在其中启用或禁用。