超10万个GitHub存储库存在API或密钥泄露
极客时间编辑部
讲述:杜力大小:2.42M时长:02:39
近日,北卡罗莱纳州立大学(NCSU)学者检查了数百万个 GitHub 存储库中收集到的数十亿个文件,包括扫描到的近六个月的 GitHub 存储库实时 commit 和 13% 的开源存储库的公共快照。为了确保准确性,采用了手工和自动评估两种方法。
研究发现,GitHub 存储库的 API 令牌和密码密钥泄露无处不在,受影响的 GitHub 存储库超 10 万个,且每天还有新的 API 和密钥泄露在不断发生。
针对 GitHub 存储库的泄露,研究人员做了大量的纵向分析,得到了如下结论:
使用 GitHub API 可以很容易地实时检测到秘密泄漏,即使在仅使用单个 API 密钥并保持在默认速率限制内的实现中也是如此。该方法实现了目标文件 99% 的覆盖率。
平均每天有 1793 个密钥被泄露。
GitHub 密钥泄露的平均时间为 20 秒,时间范围大约为从 0.5 秒到 4 分钟以上。
泄漏的密钥中 89% 是敏感的,也就是说它们并不是测试密钥。
对于“multi-factor”秘密(如 google oauth id),当一部分泄露时,其它一部分也有 80% 的泄露可能性。
许多泄露的密钥长期保存在 GitHub Repos 中,其中 81% 保存时间在 16 天以上。
密钥一旦被泄露,重写、改写都没有用,必须立即撤销。
调查发现,公共存储库平台上的机密泄露是非常严重的,开发人员和服务始终处于妥协和滥用的风险中。最关键的是,这个泄露问题现在还没有很好的解决方案。
GitHub 中有一个令牌扫描功能,可以从一组有限的提供者中寻找令牌,如果密钥被提交到公共存储库中,那么它就会通知提供者。
事实上,数据泄露并不全是开发者的锅,即使是由经验丰富的开发人员来运行高价值的项目也可能出现数据泄露的情况,例如美国一个负责大学申请的网站的 AWS 安全凭证疑似被承包商泄露,西欧某个国家的政府机构网站的 AWS 安全凭证也疑似遭泄露。
目前比较好的用于机密信息检测的信息源有两个:GitHub search API 和在 Google BigQuery 中维护的 GitHub 公共数据集。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
全部留言(1)
- 最新
- 精选
有风的林子云里雾里的没搞懂,github上存的不是公钥么,公钥可以让人知道的啊
收起评论