焦点观察:GitHub开放密钥泄露扫描工具,5类用户将被强制启动二次验证
GitHub准备将名为secret scanning的免费扫描工具,开放给所有公开储存库用户,帮助开发人员避免经由程序码泄露登入凭证。
GitHub上周宣布提供免费扫描工具,可帮助开发人员避免经由程序码泄露登入凭证。此外GitHub再新增5类用户,要求在2023年3月底前强制启用双因素验证(2FA)。
GitHub之前经由登入凭证扫描合作方案,和服务供应商合作,辨识所有公开储存库内泄露的密码或凭证,以保护双方共同客户。今年他们扫描了公开储存的200多个令牌(token)格式,最后通知合作的供应商,有170多万个可能从公开储存库泄露的密码或凭证。现在GitHub将这套工具开放所有免费公开的储存库使用。
(资料图)
工具会在扫描到程序码有密码、金钥或凭证时,直接通知储存库持有者。GitHub表示,此前通知服务合作伙伴的工作仍然会持续,但直接通知储存库管理员可使其得知安全性的全貌。即使GitHub无法通知合作伙伴的情况,如储存库自行管理的HashCorp Vault内的金钥外泄,管理员就能获得通知,管理员可以点入通知检视外泄的来源,以及稽核采取的行为正确与否。
GitHub会陆续将这工具开放给所有公开储存库,预计在2023年1月底以前让所有用户可享受这项功能。
一旦储存库得以使用扫描通知功能后,可在设定区的“程序码安全及分析”设定区启用。当中的“安全”页、“漏洞警告”下的侧边选单中选择“凭证扫描”可看到侦测的密码或凭证,用户可点选通知检视哪些密码或凭证外泄了、位置何在,以及建议的修复措施。
GitHub上周也公布进阶安全工具,已经定义了凭证样态的储存库用户可以启动推送保护(push protection)。这功能允许用户以储存库、组织或企业层级定义样态(pattern)。启用推送保护后,一旦有贡献者试图将符合样态的凭证推送到程序码内,就会遭到GitHub的阻挡。
GitHub表示,进阶安全功能4月间释出第一版时,其推送防护已经阻挡了100种凭证共8,000多项凭证免于外泄。
GitHub也号召服务供应商加入其扫瞄合作伙伴方案,目前其方案已有100多家供应商。
5类用户被强制要求启用2FA
此外,继今年5月的预告后,GitHub上周再次重申将在2023年全面强制实施双因素验证(2FA)。GitHub已展开要求相依模组超过500个或每周下载次数超过100万的套件强制启用2FA。
未来,GitHub将要求自2023年3月开始,以下特定群组必须启用2FA。包括出版GitHub或OAuth App或套件的用户、新增release的用户、企业或组织管理员、贡献程序码到npm、OpenSSF、PyPI、RubbyGems认为很重要的储存库的用户、贡献程序码到排名前400万的公开、或私有储存库的用户。
这些用户会收到GitHub电子邮件通知,要求在45天内完成启用2FA。过了这期限,用户会接到提示讯息一个星期,若没有采取动作,就会被GitHub阻挡存取。至于用户担心可能因休假而被封锁,GitHub表示,这一个星期的提示会期限过后登入才生效,若未登入则不会启动封锁倒数。
相关阅读
-
焦点观察:GitHub开放密钥泄露扫描工具...
GitHub准备将名为secretscanning的免费扫描工具,开放给所有公开储... -
微头条丨容器安全3个最佳实践:增强整体...
前言容器环境是高度动态的,应该持续监控、不断提升可观察性和安全... -
环球快资讯:美NSA高管:警惕俄罗斯黑客...
美国国安局网络安全部门负责人罗布 乔斯日前表示,“俄罗斯黑客在... -
信息究竟是如何改变战争形态的
信息究竟是如何改变战争形态的远望智库开源情报中心刘禹希蒋杰峰随... -
2022年Recorded Future C&C服务器跟踪报告
RecordedFuture研究了108个家族的漏洞利用工具包、开源远控木马与恶... -
世界实时:ChatGPT被用来开发勒索软件和...
从撰写钓鱼邮件到编写勒索软件代码,ChatGPT能帮助任何用户(即便没...