GitHub 现在扫描公共问题以查找 PyPI 密钥

早在 2019 年，我们就在启动了集成 GitHub 密钥扫描的努力。由于其固有的复杂性，该集成于 2021 年正式推出，由 Joachim Jablon (@ewjoachim) 和 GitHub 团队共同努力完成。

当时 PyPI 还没有博客，但 GitHub 有！这里有一个指向他们帖子的链接。

完成的集成提高了所有 PyPI 用户的安全。如果用户不小心将他们的 PyPI 令牌公开并将其提交并推送到 GitHub 公共存储库，GitHub 会通知我们，我们会自动撤销该令牌以防止任何滥用。此过程通常在几秒钟内完成。

酷，迈克，那是两年前的事了，所以呢？

GitHub 昨天宣布，他们现在将通知用户在

... 问题标题、描述或评论中暴露的任何密钥，包括历史修订版 ...

这是对他们现有密钥扫描功能的重大改进，以前只扫描代码。

更棒的是，我们无需更改任何内容，因为我们继续从与 GitHub 的现有集成中接收相同的通知。🎉

在实施集成时，我们设置了一些指标来跟踪被撤销的令牌数量。这是一个可视化显示从 GitHub 收到的通知数量以及我们已撤销的令牌数量（单击以查看更大的图像）

由于我们的基础设施赞助商 Datadog，我们展示了 15 个月的數據。

"已接收" 和 "有效" 之间存在较大差异可能是由于 GitHub 多次报告同一个令牌。如果令牌在多个存储库、分支机构等中使用，就会发生这种情况。

"有效" 和 "已处理" 之间存在微小差异，原因是我们在尝试向被撤销令牌的拥有者发送电子邮件时可能会引发异常，在这种情况下，我们不会在引发异常时将其标记为 "已处理"。任务第二次运行时，令牌现在无效，并且不会增加 "有效" 计数。

阅读 GitHub 在 The Changelog 上的通知，以获取更多详细信息。

如果您的组织执行此类密钥扫描，我们很乐意收到您的来信并与您的工具集成。