GitHub宣布：为所有推送到公共存储库的推送启用秘密扫描推送保护

GitHub周四宣布，默认情况下，它将为所有推送到公共存储库的推送启用秘密扫描推送保护。

“这意味着，当在任何推送到公共存储库的过程中检测到支持的密钥时，你可以选择从提交中删除密钥，或者，如果你认为密钥安全，可以绕过该块，”Eric Tooley和Courtney Claessens说。

推送保护于 2023 年 8 月首次作为选择加入功能进行试点，尽管它自 2022 年 4 月以来一直在测试中。它于 2023 年 5 月正式发布。

秘密扫描功能旨在识别来自 180 多个服务提供商的 200 多种令牌类型和模式，以防止恶意行为者欺诈性地使用它们。

在此之前，还发现了针对 GitHub 的持续“存储库混淆”攻击，该攻击正在用数千个存储库淹没源代码托管平台，其中包含能够从开发人员设备窃取密码和加密货币的混淆恶意软件。

这些攻击代表了 Phylum 和 Trend Micro 去年披露的同一恶意软件分发活动的另一波浪潮，利用托管在克隆的木马存储库上的虚假 Python 包来提供名为 BlackCap Grabber 的窃取恶意软件。

“回购混淆攻击只是依靠人类错误地选择恶意版本而不是真实版本，有时也会采用社会工程技术，”Apiiro在本周的一份报告中说。