Redian新闻
>
GitHub 官宣微信成为“秘密扫描”合作伙伴,网友:“换个叫法不好吗?”

GitHub 官宣微信成为“秘密扫描”合作伙伴,网友:“换个叫法不好吗?”

公众号新闻

推荐关注↓

转自:CSDN(ID:CSDNnews)

当开源生态日益繁荣,并逐步成为数字创新发展的关键模式时,各行各业也在积极拥抱开源。

今年三月,腾讯发布了一份《2021 年腾讯研发大数据报告》,该报告指出:截至当时,腾讯共在 GitHub 上贡献了超过 140 个项目,贡献者人数超过 3000 名,获得的全球 Star 数超过 40 万……

不仅如此,近日 GitHub 官方博客更是宣布:“腾讯微信现在是 GitHub 秘密扫描合作伙伴。”

“秘密扫描”,GitHub 发起的一个计划

先别误会,这个“秘密扫描”并不是什么敏感行为,也不是说腾讯微信会秘密扫描 GitHub 的代码库——秘密扫描(Secret scanning),它只是 GitHub 发起的一个计划名称,旨在防止开发者的私有令牌对外泄露。

秘密扫描合作伙伴计划:作为服务提供者,你可以与 GitHub 合作,通过秘密扫描保护你的秘密令牌格式,该扫描会搜索秘密格式的意外提交,并将其发送至服务提供者的验证端点。

简单来说,GitHub 想要通过这个计划,与仓库所有者展开合作,对仓库进行秘密扫描以保护秘密令牌格式的安全,此举有助于防止数据泄露和欺诈,保护用户免受令牌泄露而造成的伤害——今年 4 月,GitHub 安全团队还发现有黑客盗用 OAuth 令牌,泄露了数十个组织的数据。

与腾讯微信合作后,GitHub 将扫描公共仓库的每一次提交,以寻找暴露在外的腾讯微信 API 令牌(腾讯微信令牌允许用户验证微信公众号和小程序开发者,获取业务应用程序的敏感信息,还可用于验证商家身份)。

(注:GitHub 方面指出,默认情况下秘密扫描只会发生在公共仓库,不过仓库管理员或组织所有者也可以在私有仓库上启用。)

发现后,GitHub 会把公共仓库中找到的访问令牌转发给腾讯微信,由后者通知受影响的用户。腾讯微信则将建议户删除 GitHub 上泄露的 API 令牌,并在微信支付商家平台或微信官方账号平台上创建一个新令牌。

下图即 GitHub 在公共仓库中进行“秘密扫描”,并将所有匹配项发送到服务提供者验证端点的整个流程:


务必第一时间更换密钥

根据腾讯微信官方给出的修复指引方案,首先要明确微信支付的密钥包括以下三种:

  • APIv2 密钥 (opens new window),用于 APIv2 所有接口。

  • 商户 API 证书 (opens new window)对应的私钥,用于 APIv2 的高安全级别接口和 APIv3 所有接口。

  • APIv3 密钥,用于 APIv3 的微信支付平台证书下载接口以及回调通知。

一旦以上密钥在 GitHub 泄漏,微信方面表示,务必第一时间更换密钥,仅删除已经泄漏的密钥并不保险,还附上了一段来自 GitHub 的警告:

将提交推送到 GitHub 后,应将提交中的所有敏感数据视为泄露。如果你提交了密码,请更改密码!如果您提交了密钥,请生成新密钥。删除泄露的数据并不能解决其初始暴露问题,尤其是在仓库的现有克隆或复刻中。

除此之外,微信还建议开发者检查其商户系统,排查可疑的日志和微信支付的交易记录,确认泄漏的密钥是否已经造成影响。

据了解,包括腾讯微信在内,目前加入 GitHub 秘密扫描计划的服务提供商已有 56 家,其中还有 Meta、Figma、京东云和 Shopify 等。与此同时 GitHub 也在持续呼吁更多服务提供者积极参与这项计划,并提供了加入方式:

  • 联系 GitHub 以启动流程。

  • 识别要扫描的相关密码,并创建正则表达式来捕获它们。

  • 针对在公共仓库中发现的匹配项,创建一个密码警报服务,以便从 GitHub 接受包含 secret scan 消息有效负载的 Webhook。

  • 在密码警报服务中实施签名验证。

  • 在密码警报服务中实施密码撤销和用户通知。

  • 提供误报的反馈(可选)。


然而,对于这则消息,网友的反应却截然不同,有赞成亦有反对。

  • 赞成

“这个计划可以保障我们的安全,防止数据泄露,我认为挺好的。”

“近些年来黑客入侵的事例繁多,能减少一些都是好的。”

  • 反对

GitHub 转发这些’泄露‘的秘密,难道是在以另一种方式获得访问权限

”所以说,只要 GitHub 认为是访问令牌的所有字符串,就都会转发给腾讯吗?“

除此之外,还有部分网友对这项计划的名称感到些许迷惑,认为有歧义:尽管我是付费的 GitHub 客户,我仍不知道他们有一个名为’秘密扫描‘的项目,甚至它还是有益的——但这个名字,我显然会误认为他们在让微信秘密扫描我的私人存储库。

参考链接:

  • https://pay.weixin.qq.com/docs/merchant/development/key-leak-mitigation-guide.html

  • https://docs.github.com/en/developers/overview/secret-scanning-partner-program


- EOF -




推荐阅读  点击标题可跳转

0、极客专属:几十款程序员秒懂的卫衣

1、支付宝大整改,花呗、借呗退出江湖

2、从前,有两个卖水果的公司……

3、今年这情况,咱还是留个心眼吧!


关注「程序员的那些事」加星标,不错过圈内事

点赞和在看就是最大的支持❤️

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
宇宙人(1191期)中国电信卫星公司携手合作伙伴完成全球首次S频段5G NTN技术上星验证;海南商业发射场一号工位开始安装设备8点1氪:宣布降价后,特斯拉中国三天内获3万辆订单;辉瑞称正与中国的合作伙伴携手;Windows7将彻底退出历史舞台信息能量一体化引发变革重塑:杨杰喊话全球合作伙伴奋进新征程(附PPT)多大、UBC…2023新生群上线,已集结300+小伙伴,速速上车!首发!多大、UBC等新生群上线,已集结300+小伙伴,速速上车!最航运 | 达飞集团成为2024年巴黎奥运会和残奥会物流解决方案的官方合作伙伴币安痛失审计合作伙伴 Mazars 或引发“寒蝉效应”LV将首推婴儿系列;瑞幸开放23年合作伙伴招募;法国娇兰联名光与夜之恋... | 刀法品牌热讯Marriott & Uber 成为合作伙伴:Uber 消费可以获得万豪积分:link 账号可得3k积分美国合作伙伴震后援助叙利亚人民国美电器回应已被破产清算;携程召开2022全球合作伙伴峰会;天猫向ofo关联公司及戴威追讨5亿借款……“你就准备这么平淡地活着?”“有什么不好吗?”重磅!刚刚,王毅同布林肯非正式接触!荷兰副首相:愿成为中国稳定可靠的合作伙伴!什么信号?最航运 | 马士基与全球时尚品牌平台ASOS达成全球战略物流合作伙伴!黑龙江为什么要换省会?成为用友ISV优选伙伴,迈丹科技8个月经历了一次脱胎换骨​M·Campus代谢性疾病“筛诊治管”合作伙伴招募GitHub/GitLab同天宣布裁员,最高比例10%!GitHub所有办公室不再续租文革中批判邓小平的红卫兵说啥水墨《行万里》香港举办第二屆国际人才高峰论坛 | 同道猎聘为主要合作伙伴Acciona Energía 收购德州最大的电池储能项目【家族往事】姐姐的婚事低收入家庭福利优惠宣传日,国税局与合作伙伴向数百万中低收入工作者宣传重大税收福利胡景涛被架走,其他全部被抓波士顿U30峰会圆满成功!胡润百富北美独家职业合作伙伴IntelliPro x Uoffer将助力更多学员上岸!2023年科技、营销、个人应该往哪个方向前进?| InfoQ 合作伙伴年度盛典早报 | 去年卖地减收2万亿 财政部长回应;爱奇艺回应2月份充会员只能用28天;韩国总统:日本已从侵略者转变为合作伙伴美国低收入家庭福利优惠宣传日,国税局与合作伙伴向数百万中低收入工作者宣传重大税收福利CUBIO创新中心助力“全球创新伙伴”合作计划再传佳绩【提示】2023上海全球招商合作伙伴启动征集滴滴恢复新用户注册;微博官宣央视春晚短视频合作伙伴;珍酒李渡拟赴港上市;吃播IP“浪胃仙”账号被判属原公司|首席假期热点精华EA发行制作人:如何有创意地充分利用外包合作伙伴?不止于传媒的SMG:为合作伙伴赋能,聚势共赢Air Canada & Emirates 达成合作伙伴关系(里程兑换、休息室共享等等)
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。