代碼安全成共識!GitHub新增PyPI和RubyGems泄露掃描

最近，GitHub將其機(jī)密掃描功能擴(kuò)展到包含PyPI和RubyGems注冊表機(jī)密的存儲庫。這一更改主要是為了保護(hù)由開發(fā)人員構(gòu)建的數(shù)百萬個應(yīng)用程序，這些開發(fā)人員可能在無意間將機(jī)密和憑據(jù)提交到公共的GitHub存儲庫。目前，他們將自動掃描暴露PyPI和RubyGems秘密的存儲庫，比如憑據(jù)和API令牌。

GitHub現(xiàn)將掃描 PyPI、RubyGems的機(jī)密性

為了利用這個特性，開發(fā)者需要確保他們的存儲庫啟用了GitHub高級安全。GitHub表示，對于GitHub.com上的公共存儲庫，這些功能是永久開啟的，只有在改變項(xiàng)目的可見性使代碼不再公開時，這些功能才能被禁用。

與用戶名和密碼類似，秘密或令牌是可以在使用服務(wù)時用來驗(yàn)證自己的字符串。依賴于第三方API的應(yīng)用程序經(jīng)常在其代碼中使用機(jī)密(私有API密鑰)來訪問API服務(wù)。

因此必須當(dāng)心機(jī)密泄露問題，因?yàn)檫@可能會導(dǎo)致更大的攻擊，甚至產(chǎn)生軟件供應(yīng)鏈攻擊的影響。之前，GitHub會掃描意外提交的npm、NuGet和Clojars等機(jī)密。

目前，GitHub高級安全系統(tǒng)支持70多種不同類型的機(jī)密檢測。其中包括開源注冊表，如： npm、PyPI、RubyGems、Nuget、Clojars 等，和非包管理服務(wù)，如：Adobe和OpenAI的機(jī)密。

GitHub Advanced Security (GitHub)支持的涉密類型：

當(dāng)發(fā)現(xiàn)秘密時會發(fā)生什么?

當(dāng)GitHub發(fā)現(xiàn)公開在公共存儲庫中的密碼、API令牌、私有SSH密鑰或其他受支持的秘密時，它會通知注冊表維護(hù)人員。例如，注冊表維護(hù)者最近添加了PyPI和RubyGems，GitHub會撤銷公開的憑據(jù)，并向開發(fā)人員發(fā)送電子郵件解釋原因。

GitHub表示，在任何情況下他們都會自動掃描提交到公共存儲庫的每個這樣操作的好處在于，如果機(jī)密信息暴露，在幾秒內(nèi)會以自動方式撤銷，而不是等開發(fā)人員手動處理。

GitHub自動執(zhí)行機(jī)密掃描幫助保護(hù)開發(fā)人員基礎(chǔ)設(shè)施免受意外泄露，同時還能進(jìn)一步加強(qiáng)軟件供應(yīng)鏈安全。現(xiàn)如今代碼安全同軟件安全、網(wǎng)絡(luò)安全同等重要，尤其隨著DevSecOps 成為一種流行趨勢，越來越多的DevOps團(tuán)隊開始思考如何將安全問題融入軟件的整個生命周期，這使得軟件安全問題不再只是測試部門的工作，而應(yīng)從建立計劃初期就融入安全意識，在代碼編寫過程中結(jié)合靜態(tài)代碼檢測(SAST)技術(shù)，不斷發(fā)現(xiàn)及修復(fù)代碼缺陷以減少系統(tǒng)漏洞，在測試階段利用SCA、DAST等技術(shù)來發(fā)現(xiàn)系統(tǒng)安全問題，杜絕事后才想到代碼安全問題，也在一定程度上幫助企業(yè)避免遭到網(wǎng)絡(luò)攻擊，同時避免因系統(tǒng)安全問題帶來經(jīng)濟(jì)損失。

參讀鏈接：https://www.woocoom.com/b021.html?id=f3d9bda511e14389a83300f1e2914d9e

https://www.bleepingcomputer.com/news/security/github-now-scans-for-accidentally-exposed-pypi-rubygems-secrets/