GitHub为所有公共存储库带来免费的秘密扫描

GitHub宣布将向更多用户提供其秘密扫描功能，以帮助公共存储库管理员在发生违规行为之前检测其存储库中泄露的秘密。

此次发布是秘密扫描合作伙伴计划的一部分，该计划旨在通知100多家服务提供商公共存储库中的令牌暴露情况。

该功能以前仅适用于具有GitHubAdvancedSecurity的组织，但现在所有公共存储库的管理员都可以使用。

Github声称可以扫描200多种令牌格式(如API密钥和身份验证令牌)，通常平均需要327天才能识别这些格式，并且已经通知其合作伙伴公共存储库中有170万个潜在的秘密曝光。

推出已经以测试版形式开始，GitHub希望其所有成员都能在2023年1月底之前访问。该公司还指出了一个讨论板(在新标签页中打开)用户可以在其中请求抢先体验或更详细地讨论产品。

“一旦秘密扫描警报在您的存储库中可用，您就可以在存储库的“代码安全和分析”设置下的设置中启用它们，”公司博客上的一个条目(在新标签页中打开)著名的。

“您可以通过导航到存储库的“安全”选项卡并在“漏洞警报”下方的侧面板中选择“秘密扫描”来查看任何检测到的秘密。在那里，您将看到所有检测到的秘密列表，您可以单击任何警报以显示泄露的秘密、其位置和建议的补救措施。”

为了强调其对安全的承诺，GitHub还宣布将要求所有贡献代码的用户在2023年底之前在其帐户上设置双因素身份验证(2FA)，这将影响大约9400万用户。

一组选定的用户将在2023年3月首先收到此强制验证的通知，这将为GitHub将其推送到其整个用户群之前提供评估基础。