原始碼代管平台GitHub 全面開放免費原始碼掃描服務

編譯／鄭智懷

微軟（Microsoft）旗下的原始碼代管平台 GitHub在本周五公告調整公司營運政策，在2023年1月將原先僅開放給企業用戶的原始碼掃描服務，轉為免費提供給所有申請的用戶。使用該服務的用戶將可得知其原始碼是否有遭外洩的風險。

據GitHub的統計，該公司在2022年以來，已經向參與「秘密掃描合作夥伴計劃」的成員通報超過170萬筆託管在其名下資料庫的原始碼可能有導致資料外洩風險。該計劃使用全球兩百種以上的「通行證」（token）格式，或是客戶自行設定的格式掃描託管的原始碼，接著提醒合作夥伴是否有潛在的外洩可能。

Uber旗下的美國外送平台Postmates安全工程師David Ross指出，私下的掃描工作有助於公司解決大量的資安問題，「在App的資安領域，這也是發現程式碼問題的最佳方案。」

據GitHub公告，用戶在該公司於2023年1月原始碼託管與掃描服務全面開放後，只要在GitHub的安全設定開啟功能，即可使用該項服務。這也意味著用戶即使未參與「秘密掃描合作夥伴計劃」，只要將原始碼交由GitHub託管，即可在沒有合作夥伴通知的情況下收到有關原始碼的警報。

目前，除了GitHub提供掃描託管的原始碼以了解其中是否存有外洩風險的服務外，尚有Gitleaks等線上掃描工具，以及Nightfall和 CheckPoint 旗下的Spectral等資安公司提供類似的服務。不過，GitHub是當前唯一向所有用戶，而非僅限於向企業開放者。

資料來源：TechCrunch

瀏覽 634 次