雖然每個人都知道不要將密碼、秘鑰等信息放到倉庫代碼裡面,但是密碼洩露的事情其實一直在發生,簡直就是防不勝防。
曾經年少無知的我就犯過這樣的錯誤,以前調用 GitHub 的相關接口用到 Token,有時候會直接提交到代碼倉庫裡面,不過機制的 GitHub 會直接給你發告警郵件,同時會廢除你使用的這個 Token,避免了洩露。
GitHub 上其實已經有一個 Token 掃描的項目,可以鏈接:
https://help.github.com/en/github/administering-a-repository/about-token-scanning
瞭解詳情。目前已經支持了和很多的第三方公司聯動,包括阿里、AWS、Google 等大廠。通過掃描公開的開源倉庫,已經發現 Token 洩露,就會通知第三方公司,第三方公司會驗證 Token 的有效性並及時廢除。
通過下面的方式,也可以接入 GitHub 開發自己的 Token 報警服務。
說了這麼多,今天要推薦的項目其實跟這個相關,作者不滿足於 GitHub 官方提供的解決方案,因為 GitHub 並沒有保證密碼洩露通知的 SLA,經常會在代碼提交後一段時間後(一般是構建流水線之後)才會收到代碼洩露的通知,這在一些特殊場景下面是無法接受的。
所以作者通過使用 GitHub 提供的實時事件 API,做到了幾乎實時的 Token 洩露檢測。通過網站
https://shhgit.darkport.co.uk/
可以查看到實時的檢測結果。
項目地址:
https://github.com/eth0izzle/shhgit
今天的推薦不知道大家喜歡嗎?如果你喜歡,請在文章底部留言和點贊,以表示對我的支持,你們的留言、點贊和轉發關注是我持續更新的動力哦!
閱讀更多 非著名程序員 的文章