密文扫描程序(Secretscanningprogram)是GitHub推出的一项服务。GitHub与仓库所有者合作,对仓库进行秘密扫描,以保护秘密令牌格式的安全。将搜索意外提交的令牌格式。此操作可防止错误提交被意外用于欺诈目的。最近,GitHub宣布与PythonPackageIndex(PyPI)建立合作伙伴关系,以帮助保护用户免受PyPIAPI令牌泄露的影响。根据公告,从现在开始,GitHub将扫描公共存储库中的每个提交以查找暴露的PyPIAPI令牌。它将找到的任何令牌转发给PyPI,PyPI将自动禁用它们并在此过程中通知其所有者。这个端到端的过程只需要几秒钟。GitHub表示,PyPI是另一个加入GitHub秘密扫描计划的集成商。自2018年以来,GitHub已与35家令牌发行商合作,帮助他们保护客户安全。与此同时,GitHub欢迎更多集成商加入他们的计划,秘密扫描公共存储库。如何加入扫密计划:联系GitHub开启扫密程序;识别要扫描的相关秘密并创建正则表达式以捕获它们;为在公共存储库中找到的秘密匹配创建一个秘密警报服务,以接受来自秘密扫描消息有效负载的GitHubWeb挂钩的包含;在秘密警报服务中实现签名验证;在秘密警报服务中实现秘密撤销和用户通知;提供误报反馈(可选)。不仅如此,GitHubAdvancedSecurity客户现在还可以扫描他们的私有存储库以查找泄漏。本文转自OSCHINA文章标题:PyPl加入GitHub秘密扫描项目本文地址:https://www.oschina.net/news/134962/pypl-joins-secret-scanning
