PyPl 加入 GitHub 秘密扫描计划

开发 前端
近日,GitHub 宣布与 Python Package Index(PyPI)展开合作,帮助保护用户免受 PyPI API 令牌的泄露所产生的侵害。

秘密扫描计划(Secret scanning program)是 GitHub 推出的一项服务,GitHub 通过与仓库所有者展开合作,对仓库进行秘密扫描以保护秘密令牌格式的安全,该扫描将搜索意外提交的令牌格式。此举可以防止因欺诈性目的而意外使用了错误的提交。

[[390243]]

近日,GitHub 宣布与 Python Package Index(PyPI)展开合作,帮助保护用户免受 PyPI API 令牌的泄露所产生的侵害。

根据公告,从现在开始,GitHub 将扫描公共仓库的每一次提交,以寻找暴露的 PyPI API 令牌。它将把发现的任何令牌转发给 PyPI,PyPI 在此过程中将自动禁用它们并通知它们的所有者。这个端到端过程只需要几秒钟。

GitHub 表示,PyPI 是加入 GitHub 秘密扫描计划的又一个集成商。自 2018 年以来,GitHub 已经与 35 家令牌发行商合作以帮助他们保护客户的安全。与此同时,GitHub 也欢迎更多的集成商加入他们的计划对公共仓库进行秘密扫描。

如何加入秘密扫描计划:

  • 联系 GitHub 以启动流程;
  • 确定要扫描的相关秘密,并创建正则表达式来捕获它们;
  • 针对在公共仓库中发现的秘密匹配项,创建一个秘密警报服务,以便从 GitHub 接受包含秘密扫描消息有效负载的 web hooks;
  • 在秘密警报服务中实施签名验证;
  • 在秘密警报服务中实施秘密撤销和用户通知;
  • 提供误报的反馈(可选)。

不仅如此,GitHub 高级安全(Advanced Security)客户现在还可以扫描他们的私人仓库,以防止泄漏。

本文转自OSCHINA

本文标题:PyPl 加入 GitHub 秘密扫描计划

本文地址:https://www.oschina.net/news/134962/pypl-joins-secret-scanning

责任编辑:未丽燕 来源: 开源中国
相关推荐

2021-07-31 18:34:53

Google ClouSAP RISE

2011-12-20 13:19:00

LifeSizeVMware

2013-04-22 13:32:55

2009-09-16 22:42:22

BVMware技术应用交付网络Blue Coat

2015-10-19 09:43:11

facebookinternet.or天网

2015-12-10 10:31:46

谷歌云计算

2021-06-10 10:36:16

GitHubPyPl存储库

2011-09-20 10:12:44

2012-08-14 13:27:52

Informatica云计算Google

2018-06-20 10:33:14

GitHub工具包开发者

2022-02-23 15:36:06

GitHub代码扫描功能机器学习

2022-02-25 11:24:23

开源GitHub机器学习

2011-11-01 17:44:11

Facebook

2019-06-04 08:30:57

KotlinPHP语言

2015-12-31 11:27:08

亚信安全/信息安全

2015-10-14 15:18:33

软件IC网

2019-06-21 11:06:15

Python 开发编程语言

2024-03-22 12:14:52

2022-04-02 11:42:48

Git存储库代码隐私安全扫描工具

2021-05-18 20:46:29

数字化
点赞
收藏

51CTO技术栈公众号