GitHub全面開放「推送保護」功能　避免密碼、金鑰洩漏

記者／竹二

GitHub近日宣布原付費功能「推送保護」（Push Protection），現在免費提供所有公開儲存庫啟用，過去GitHub只針對GitHub Advanced Security用戶的私有儲存庫，提供推送保護功能，而現進一步對所有公開儲存庫開放，可避免密碼或是API金鑰等敏感資料意外洩漏。

所謂的GitHub，是一個Code代管服務平台，目前是全世界最大的開放原始碼社群，有許多開源軟體專案，只要專案的擁有者公開其專案，人人都能存取、使用，甚至對專案內容作出修改。

「推送保護」功能的目的，是為了要避免開發人員在程式碼中，意外洩漏諸像是密碼或是API金鑰等敏感資訊，透過掃描程式碼中可識別的秘密，並在這些機密資訊被提交到程式碼庫之前發出提醒，GitHub與各家服務供應商合作盡量降低誤判的情形，以提高開發人員對警示的信任度。

當「推送保護」的功能發現程式碼中含有敏感資訊時，開發人員會就會從IDE或是命令列工具中接收到提示，並獲得相對應的修改建議，以確保這些機密資訊不會洩漏。

只不過，在特定情況下，開發者可能會需要推送包含機密資訊的程式碼，像是需要快速修復故障的時候，開發者就可以藉由提供像是測試、偽陽性，或是可接受風險會在稍後修復等理由，來迴避推送保護功能的掃描。

現在使用者想要啟用「推送保護」，只要到程式碼安全和分析設定中的機密掃描區塊，啟用機密掃描以推送保護子功能，就可以開始獲得機密掃描保護。

瀏覽 19,035 次