把密码存在 GitHub 里面,你家里是有矿嘛?

【公众号回复 “1024”,免费领取程序员赚钱实操经验】

虽然每个人都知道不要将密码、秘钥等信息放到仓库代码里面,但是密码泄露的事情其实一直在发生,简直就是防不胜防。

曾经年少无知的我就犯过这样的错误,以前调用 GitHub 的相关接口用到 Token,有时候会直接提交到代码仓库里面,不过机制的 GitHub 会直接给你发告警邮件,同时会废除你使用的这个 Token,避免了泄露。

GitHub 上其实已经有一个 Token 扫描的项目,可以链接:https://help.github.com/en/github/administering-a-repository/about-token-scanning了解详情。目前已经支持了和很多的第三方公司联动,包括阿里、AWS、Google 等大厂。通过扫描公开的开源仓库,已经发现 Token 泄露,就会通知第三方公司,第三方公司会验证 Token 的有效性并及时废除。

通过下面的方式,也可以接入 GitHub 开发自己的 Token 报警服务。

说了这么多,今天要推荐的项目其实跟这个相关,作者不满足于 GitHub 官方提供的解决方案,因为 GitHub 并没有保证密码泄露通知的 SLA,经常会在代码提交后一段时间后(一般是构建流水线之后)才会收到代码泄露的通知,这在一些特殊场景下面是无法接受的。

所以作者通过使用 GitHub 提供的实时事件 API,做到了几乎实时的 Token 泄露检测。通过网站https://shhgit.darkport.co.uk/可以查看到实时的检测结果。

项目地址:https://github.com/eth0izzle/shhgit

今天的推荐不知道大家喜欢吗?如果你喜欢,请在文章底部留言和点赞,以表示对我的支持,你们的留言、点赞和转发关注是我持续更新的动力哦!

「GitHub 精选」,每晚 10:24 准时为您推送