GitHub現在預設開啟推送保護(Push Protection)功能,協助開源開發者保護其密碼與金鑰等機密資訊。當推送保護功能啟用時,系統會自動檢查開發者推送到GitHub中的程式碼,一旦發現包含諸如密碼和API金鑰等敏感資訊,GitHub會阻擋推送操作並通知開發者,避免潛在的安全問題。
原本從去年8月開始,GitHub讓所有雲端使用者選擇啟用推送保護功能,不過GitHub提到,API金鑰、令牌和各種機密資料外洩的規模非常大,光是2024年前兩個月,GitHub就已經在公開儲存庫偵測到100萬筆洩漏的機密資料,相當於每分鐘超過10次。
因此現在GitHub決定向所有使用者啟用推送保護,當公共儲存庫中的任何推送偵測到系統所支援的機密資料時,用戶可以從提交中刪除該機密,或是選擇跳過阻擋直接提交。雖然官方預設啟用推送保護,用戶仍可以從安全設定中停用推送保護,不過GitHub強調,他們還是建議用戶啟用推送保護,並根據需要進行例外處理,不要完全停用推送保護。
此項功能變更將在一到兩週的時間套用至所有用戶的帳戶,不過用戶也可以在安全設定中驗證狀態並且選擇提早啟用。而當原本就有使用GitHub Enterprise計畫的組織,也可以添加GitHub Advanced Security保護私人儲存庫中的機密,並且獲得所有機密掃描功能、程式碼掃描、人工智慧自動修復程式碼建議,和其他靜態應用程式安全功能。
線