GitHub 代码库泄露了 API 或加密密钥
|
GitHub 公共代码库总数中 13% 的数十亿个文件后发现,超过 100000 个代码库泄露了 API 令牌和加密密钥,每天数千个新的代码库在泄露新的秘密内容。 这次扫描是北卡罗来纳州立大学(NCSU)的团队开展的一项学术研究的课题,研究结果已交给 GitHub,GitHub 看到调查结果后采取了行动,加快开发一项名为令牌扫描(Token Scanning)的新安全功能,目前该功能处于测试阶段。 研究人员扫描了数十亿个 GitHub 文件 NCSU 的这项研究是迄今为止对 GitHub 最全面和最深入的扫描,超过之前的任何同类研究。 2017 年 10 月 31 日至 2018 年 4 月 20 日,NCSU 的研究人员扫描了多个 GitHub 帐户,扫描时间持续近六个月,寻找 API 令牌和加密密钥等格式的文本字符串。 他们不仅使用 GitHub Search API 来寻找这些文本模式,就像之前的其他研究工作一样,还查看了谷歌的 BigQuery 数据库中记录的 GitHub 代码库快照。 在这六个月期间,研究人员分析了无数 GitHub 代码库当中的数十亿个文件。 在上个月发表的一篇研究论文中,NCSU 的三人团队表示,他们使用 GitHub Search API 获取并分析了代表 681784 个代码库的 4394476 个文件,以及代表谷歌的 BigQuery 数据库中记录的 3374973 个代码库的另外 2312763353 个文件。 NCSU 团队扫描了 11 家公司的 API 令牌 研究人员在这庞大的文件堆中寻找采用特定的 API 令牌或加密密钥格式的文本字符串。 由于并非所有的 API 令牌和加密密钥都采用同样的格式,因此 NCSU 团队决定使用 15 种 API 令牌格式(来自属于 11 家公司的 15 项服务,其中 5 家来自 Alexa Top 50)和 4 种加密密钥格式。
这包括谷歌、亚马逊、Twitter、Facebook、Mailchimp、MailGun、Stripe、Twilio、Square、Braintree 和 Picatic 使用的 API 密钥格式。 (编辑:桂林站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |


