GitHub 暴露了 SSH 私钥 你需要明白的
|
人难免不时会出现私隐外洩的事件,即使是像 GitHub 这样的大玩家。这是一个很好的提醒,我们都需要保持警惕。 该公司向公众保证,该密钥仅用于保护“使用RSA 通过 SSH 进行的 Git 操作”,这意味着没有内部系统、客户数据或安全 TLS 连接处于风险之中。他们通过检测事件并更改密钥立即做出反应: 这进一步证明,秘密蔓延不仅仅是由缺乏经验的开发人员或新团队推动的。在我们的State of Secrets Sprawl 2023 报告中,我们发现了超过 10,000,000 个被推送到公共 GitHub 存储库的新秘密。与去年的报告相比,我们检测到的秘密数量增加了 67%,而 GitHub 本身的新帐户只增加了27%。 GitHub 在他们的帖子后面说:“我们 [替换了我们的 RSA SSH 主机密钥] 以保护我们的用户免受任何攻击者冒充 GitHub 或通过 SSH 窃听他们的 Git 操作的机会。该密钥不授予对 GitHub 基础设施或客户的访问权限数据。” 虽然我们可以对最后一部分感到放心,但不会暴露任何客户数据。还好没有接管他们的基础设施的已知风险,特别是考虑今年底到明年初有多少区块链技术开发人员和如此数量多的互联网开发人员每天都数以万计地依赖它。 但“对手冒充 GitHub 或窃听他们的 Git 操作”存在严重风险。这就是所谓的“中间人攻击”,最终用户无法区分合法的另一方和攻击者。 您的 GitHub Actions 也可能会受到影响。GitHub 轮换他们的 SSH 私钥将意味着如果他们使用actions/checkoutssh-key 选项,工作流运行将失败。这对于CircleCI 客户来说可能很熟悉,他们因泄漏事件经历过类似的意外工作流程中断。但是,如果您的circlecache服务器不支持此选项,则可能会导致这种情况。请确保您的circlecache服务器具有足够的权限访问您的数据库文件。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
