GitHub现在默认打开推送保护(Push Protection)功能,协助开源开发者保护其密码与密钥等机密资讯。当推送保护功能激活时,系统会自动检查开发者推送到GitHub中的程序代码,一旦发现包含诸如密码和API密钥等敏感资讯,GitHub会阻挡推送操作并通知开发者,避免潜在的安全问题。
原本从去年8月开始,GitHub让所有云计算用户选择激活推送保护功能,不过GitHub提到,API密钥、令牌和各种机密数据外泄的规模非常大,光是2024年前两个月,GitHub就已经在公开存储库侦测到100万笔泄露的机密数据,相当于每分钟超过10次。
因此现在GitHub决定向所有用户激活推送保护,当公共存储库中的任何推送侦测到系统所支持的机密数据时,用户可以从提交中删除该机密,或是选择跳过阻挡直接提交。虽然官方默认激活推送保护,用户仍可以从安全设置中停用推送保护,不过GitHub强调,他们还是建议用户激活推送保护,并根据需要进行例外处理,不要完全停用推送保护。
此项功能变更将在一到两周的时间套用至所有用户的账户,不过用户也可以在安全设置中验证状态并且选择提早激活。而当原本就有使用GitHub Enterprise计划的组织,也可以添加GitHub Advanced Security保护私人存储库中的机密,并且获得所有机密扫描功能、程序代码扫描、人工智能自动修复程序代码建议,和其他静态应用程序安全功能。
