GitHub 会永久保留被强制推送删除的“零提交”记录,可通过 GitHub Event API 及 GH Archive 获取这些被删除的提交哈希。
作者使用 GH Archive 和 GitHub 事件 API 扫描自 2020 年以来的零提交事件,并结合 TruffleHog 发现了价值 2.5 万美元的漏洞奖金秘钥。
与 Truffle Security 联合开源了 Force Push Scanner 工具,可自动检索组织下隐藏的被删除提交并扫描其中的密钥。
研究过程中发现了成千上万的活跃秘钥,其中高价值的包含 GitHub PAT 及 AWS 凭证,引发高额赏金。
在案例研究中,作者发现并报告了一个管理所有 Istio 仓库的管理员级 PAT,避免了重大供应链安全事故。
建议一旦密钥提交,必须立即撤销并采取更安全的密钥管理流程,清除提交后无法真正删除旧提交。
Get notified when new stories are published for "🇨🇳 Hacker News 简体中文"