微软拥有的代码托管平台 GitHub 表示,它已经取代了用于保护 GitHub.com 的 Git 操作的 RSA SSH 私钥。
该平台表示,密钥曾短暂暴露在公共 GitHub 存储库中,并没有在 GitHub 泄露后泄露。该公司表示,没有客户信息受到影响。
根据软件协作平台的说法,该密钥可能被用来冒充 GitHub 或通过 SSH 窃听客户的 Git 操作。
“此密钥不会授予对 GitHub 基础设施或客户数据的访问权限,”GitHub 在周五的公告中表示。
GitHub 还指出,密钥是由于“无意中发布了私人信息”而暴露的。
GitHub 表示:“我们没有理由相信暴露的密钥被滥用,并且出于谨慎考虑采取了这一行动。”
仅替换 GitHub.com 的 RSA SSH 密钥,ECDSA 和 Ed25519 用户无需执行任何操作。泄漏也没有影响到 GitHub.com 的网络流量或 HTTPS Git 操作。
“我们现在已经完成了密钥替换,用户将在接下来的三十分钟内看到更改的传播。一些用户可能已经注意到,在准备进行此更改期间,新密钥从世界标准时间 02:30 左右开始短暂出现,”GitHub 周五表示
该平台还提供了有关客户如何手动删除旧密钥并添加新的 RSA SSH 公钥的说明。GitHub Actions 用户可能还需要采取行动。
根据代码安全平台 GitGuardian 的说法,公共存储库中秘密的意外泄露并不令人意外。到 2022 年,该公司发现了超过 1000 万个新的秘密暴露,并表示十分之一的提交者去年暴露了一个秘密。
“如果你公开了一个秘密,你肯定不是一个人。GitHub 很好地提醒我们,无论我们的团队有多大,我们都必须在安全实践中保持警惕,” GitGuardian 指出。
>>>供应链安全<<<
>>>其他<<<
联系客服