奧推網

選單
科技

GitHub 官宣微信成為“秘密掃描”合作伙伴,網友:“換個叫法不好嗎?”

2023-01-04由 CSDN 發表于 科技

整理 | 鄭麗媛

出品 | CSDN(ID:CSDNnews)

當開源生態日益繁榮,並逐步成為數字創新發展的關鍵模式時,各行各業也在積極擁抱開源。

今年三月,騰訊釋出了一份《2021 年騰訊研發大資料報告》,該報告指出:截至當時,騰訊共在 GitHub 上貢獻了超過 140 個專案,貢獻者人數超過 3000 名,獲得的全球 Star 數超過 40 萬……

不僅如此,本週二 GitHub 官方部落格更是宣佈:“騰訊微信現在是 GitHub 秘密掃描合作伙伴。”

“秘密掃描”,GitHub 發起的一個計劃

先別誤會,這個“秘密掃描”並不是什麼敏感行為,也不是說騰訊微信會秘密掃描 GitHub 的程式碼庫——秘密掃描(Secret scanning),它只是 GitHub 發起的一個計劃名稱,旨在防止開發者的私有令牌對外洩露。

秘密掃描合作伙伴計劃:作為服務提供者,你可以與 GitHub 合作,透過秘密掃描保護你的秘密令牌格式,該掃描會搜尋秘密格式的意外提交,並將其傳送至服務提供者的驗證端點。

簡單來說,GitHub 想要透過這個計劃,與倉庫所有者展開合作,對倉庫進行秘密掃描以保護秘密令牌格式的安全,此舉有助於防止資料洩露和欺詐,保護使用者免受令牌洩露而造成的傷害——今年 4 月,GitHub 安全團隊還發現有駭客盜用 OAuth 令牌,洩露了數十個組織的資料。

與騰訊微信合作後,GitHub 將掃描公共倉庫的每一次提交,以尋找暴露在外的騰訊微信 API 令牌(騰訊微信令牌允許使用者驗證微信公眾號和小程式開發者,獲取業務應用程式的敏感資訊,還可用於驗證商家身份)。

(注:GitHub 方面指出,預設情況下秘密掃描只會發生在公共倉庫,不過倉庫管理員或組織所有者也可以在私有倉庫上啟用。)

發現後,GitHub 會把公共倉庫中找到的訪問令牌轉發給騰訊微信,由後者通知受影響的使用者。騰訊微信則將建議戶刪除 GitHub 上洩露的 API 令牌,並在微信支付商家平臺或微信官方賬號平臺上建立一個新令牌。

下圖即 GitHub 在公共倉庫中進行“秘密掃描”,並將所有匹配項傳送到服務提供者驗證端點的整個流程:

務必第一時間更換金鑰

根據騰訊微信官方給出的修復指引方案,首先要明確微信支付的金鑰包括以下三種:

APIv2 金鑰 (opens new window),用於 APIv2 所有介面。

商戶 API 證書 (opens new window)對應的私鑰,用於 APIv2 的高安全級別介面和 APIv3 所有介面。

APIv3 金鑰,用於 APIv3 的微信支付平臺證書下載介面以及回撥通知。

一旦以上金鑰在 GitHub 洩漏,微信方面表示,務必第一時間更換金鑰,僅刪除已經洩漏的金鑰並不保險,還附上了一段來自 GitHub 的警告:

將提交推送到 GitHub 後,應將提交中的所有敏感資料視為洩露。如果你提交了密碼,請更改密碼!如果您提交了金鑰,請生成新金鑰。刪除洩露的資料並不能解決其初始暴露問題,尤其是在倉庫的現有克隆或復刻中。

除此之外,微信還建議開發者檢查其商戶系統,排查可疑的日誌和微信支付的交易記錄,確認洩漏的金鑰是否已經造成影響。

據瞭解,包括騰訊微信在內,目前加入 GitHub 秘密掃描計劃的服務提供商已有 56 家,其中還有 Meta、Figma、京東雲和 Shopify 等。與此同時 GitHub 也在持續呼籲更多服務提供者積極參與這項計劃,並提供了加入方式:

聯絡 GitHub 以啟動流程。

識別要掃描的相關密碼,並建立正則表示式來捕獲它們。

針對在公共倉庫中發現的匹配項,建立一個密碼警報服務,以便從 GitHub 接受包含 secret scan 訊息有效負載的 Webhook。

在密碼警報服務中實施簽名驗證。

在密碼警報服務中實施密碼撤銷和使用者通知。

提供誤報的反饋(可選)。

然而,對於這則訊息,網友的反應卻截然不同,由贊成亦有反對。

贊成

“這個計劃可以保障我們的安全,防止資料洩露,我認為挺好的。”

“近些年來駭客入侵的事例繁多,能減少一些都是好的。”

反對

”GitHub 轉發這些’洩露‘的秘密,難道不是在以另一種方式獲得訪問許可權?“

”所以說,只要 GitHub 認為是訪問令牌的所有字串,就都會轉發給騰訊嗎?“

除此之外,還有部分網友對這項計劃的名稱感到些許迷惑,認為有歧義:”儘管我是付費的 GitHub 客戶,我仍不知道他們有一個名為’秘密掃描‘的專案,甚至它還是有益的——但這個名字,我顯然會誤認為他們在讓微信秘密掃描我的私人儲存庫。“

參考連結:

https://pay。weixin。qq。com/docs/merchant/development/key-leak-mitigation-guide。html

https://docs。github。com/en/developers/overview/secret-scanning-partner-program

GitHub微信掃描令牌騰訊

相關文章閱讀