bleepingcomputer發佈了一篇GitHub 預設啟用推送保護以防止機密洩露
GitHub 是全球最大的程式碼託管平台,每天有數百萬的開發者在上面分享、協作、審查和部署程式碼。然而,這也帶來了一個安全風險:如果開發者不小心將包含敏感資訊的程式碼推送到公開的儲存庫,就可能造成密鑰、存取權杖、API 金鑰等資料外洩,進而遭受駭客的攻擊或濫用。
為了解決這個問題,GitHub 在 2022 年 4 月推出了一項新功能,稱為推送保護(push protection)。這項功能可以在開發者推送程式碼之前,自動掃描程式碼中是否含有任何已知的敏感資訊,並在發現任何潛在的外洩時,阻止推送動作,並提醒開發者修改或移除該資訊。
推送保護功能是 GitHub 進階安全(GitHub Advanced Security)的一部分,最初只適用於擁有 GHAS 授權的私人儲存庫。然而,為了幫助開源社群主動保護他們的程式碼,GitHub 在 2023 年 5 月宣布,將推送保護功能免費開放給所有的公開儲存庫。此外,GitHub 還預設啟用了推送保護功能,讓所有的公開儲存庫都能享受這項安全保障。
推送保護功能的目的是讓開發者能夠更安心地使用 GitHub,而不用擔心不小心洩露自己或他人的敏感資訊。GitHub 表示,推送保護功能目前可以偵測超過 70 種不同的密鑰和權杖類型,並且會持續增加支援的範圍。開發者也可以自行設定推送保護功能的規則,例如忽略特定的檔案或路徑,或者允許特定的密鑰或權杖。
推送保護功能是 GitHub 為了提升程式碼安全而推出的眾多功能之一,其他還包括秘密掃描(secret scanning)、代碼掃描(code scanning)、代碼審查(code review)等。這些功能都是基於 GitHub 的強大的 AI 能力,幫助開發者在程式碼的生命週期中,發現並修復潛在的安全漏洞,並預防未來的風險。
GitHub 的推送保護功能是一項值得讚揚的創新,它展現了 GitHub 對開源社群的貢獻和承諾,也為程式碼安全設定了一個新的標準。我們期待 GitHub 能夠繼續推出更多的安全功能,讓開發者能夠更自信、更安全地使用 GitHub。
詳情請看: