GitHub 与微信达成合作 |

GitHub 与微信达成合作 | 微软 GitHub 官方于 12 月 20 日发布公报,宣布 Github 和腾讯微信达成合作,帮助保护所有公共仓库和私有仓库的共同用户。GitHub 密钥扫描会通过搜索存储库中的已知类型的密钥来保护用户。通过识别和标记这些密钥,有助于防止数据泄露和欺诈。腾讯微信令牌则允许用户验证微信公众号和小程序开发者,获取业务应用的敏感信息,并可用于验证商家身份。GitHub 会将在公共仓库中找到的访问令牌转发给微信,微信将通知受影响的用户。微信鼓励用户删除 GitHub 上泄露的 API token,并在微信支付商家平台或微信公众号平台上创建新 token。

相关推荐

封面图片

腾讯微信成为 GitHub 秘密扫描合作伙伴

腾讯微信成为 GitHub 秘密扫描合作伙伴 GitHub 官方博客腾讯微信成为其秘密扫描项目的合作伙伴。不是腾讯微信会秘密扫描 GitHub 的所有代码库,而是 GitHub 有一个项目叫秘密扫描(secret scanning),旨在防止开发者的私有令牌对外泄露。 开发者在公开项目中硬编码安全凭证日益成为一个严重的安全隐患,秘密扫描就是在发现这些机密信息后警告开发者。与微信合作意味着 GitHub 将在公开代码库中扫描微信官方帐户和小程序开发者相关的私有令牌,发现之后允许微信撤销这些暴露在外的令牌。
封面图片

GitHub:攻击者利用盗取的OAuth令牌入侵了数十个组织

GitHub:攻击者利用盗取的OAuth令牌入侵了数十个组织 GitHub今天透露,一名攻击者正在使用偷来的OAuth用户令牌(发放给Heroku和Travis-CI),从私人仓库下载数据。 自2022年4月12日首次发现这一活动以来,威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序(包括npm)的受害组织中访问并窃取数据。 "这些集成商维护的应用程序被GitHub用户使用,包括GitHub本身" GitHub的首席安全官(CSO)Mike Hanley今天透露。 "我们不相信攻击者是通过破坏GitHub或其系统来获得这些令牌的,因为GitHub没有以原始的可用格式存储这些令牌。" "我们对威胁行为者的其他行为的分析表明,行为者可能正在挖掘被盗的OAuth令牌所能访问的下载的私有仓库内容,以寻找可用于透支其他基础设施的秘密。" GitHub安全部在4月12日发现了对GitHub的npm生产基础设施的未经授权的访问,因为攻击者使用了一个被泄露的AWS API密钥。 攻击者很可能是在使用偷来的OAuth令牌下载了多个私有npm仓库后获得了该API密钥。 bleepingcomputer
封面图片

梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露

梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露 根据分析梅赛德斯奔驰的 GitHub Enterprise Server 上包含大量机密内容:整个源代码知识产权内容用来连接其他服务的字符串AWS/Azure 连接密钥设计蓝图设计文档SSO 密码API 密钥其他关键信息其中 AWS 和 Microsoft Azure 连接密钥则可以用来登录梅赛德斯奔驰在 AWS 和微软托管的服务器,这又可能导致更多私密数据暴露。开发者不慎在 GitHub 上暴露了令牌:GitHub 允许开发者生成身份验证令牌作为替代密码的验证方案,梅赛德斯奔驰的员工不慎在一个公共 GitHub 中暴露了自己的令牌,这意味着任何人拿到这个令牌后都可以直接访问梅赛德斯奔驰的 GitHub Enterprise Server 并下载所有数据。RedHunt Labs 基于安全验证目的浏览了部分数据,发现里面还包含 AWS 和 Azure 密钥、Postgres 数据库和梅赛德斯的其他源代码等。随后该安全公司通过 TechCrunch 联系梅赛德斯奔驰进行反馈,接到反馈后梅赛德斯奔驰立即确认了问题并撤销了令牌,同时把暴露令牌的整个存储库都删了。是否泄露数据目前还不清楚:扫描显示梅赛德斯奔驰员工是在 2023 年 9 月下旬不慎暴露自己的身份验证令牌,也就是说到撤销的时候已经有几个月,这几个月难免会有其他黑客扫描到令牌进而窃取了所有数据。遗憾的是梅赛德斯奔驰拒绝透露是否知道任何第三方访问了暴露的数据,或者说没人知道该公司有没有能力检查数据遭到异常访问,这可能需要完整的排查过去几个月的日志。 ... PC版: 手机版:
封面图片

一个让你可以跟 GitHub 仓库进行对话的 Python 工具:Chat-with-GitHub-Repo。

一个让你可以跟 GitHub 仓库进行对话的 Python 工具:Chat-with-GitHub-Repo。 仓库包含两个 Python 脚本,演示如何使用 Streamlit、OpenAI GPT-3.5-turbo 和 Deep Lake 来创建 AI 聊天机器人。 聊天机器人搜索存储在 Deep Lake 中的数据集以查找相关信息,并根据用户的输入生成答案,让你直接跟 GitHub 仓库进行对话。 | #工具
封面图片

爱奇艺与阿联酋电信达成合作 20余部华语内容将上线STARZ ON

爱奇艺与阿联酋电信达成合作 20余部华语内容将上线STARZ ON 爱奇艺与中东和北非最大运营商之一阿联酋电信(Etisalat)达成合作,6月14日起,阿联酋电信旗下平台STARZ ON将上线爱奇艺20余部剧集、电影、动漫内容,并通过提供推广资源,提升华语内容在中东和北非市场的影响力。 此次爱奇艺与阿联酋电信合作内容片单,包括爆款古装奇幻剧《苍兰决》、甜爱剧《爱上北斗星男友》、热血竞技偶像剧《追球》等华语剧集,《新精武门:武魂》《叶问宗师觉醒》等多部中国功夫类型电影,及《深渊游戏》《只好背叛地球了》《四海鲸骑》等动漫内容,题材丰富,承载生动多元的中国故事。所有内容都将配有阿拉伯语字幕,以确保当地观众可以沉浸式感受这些引人入胜的故事。
封面图片

#GitHub #web #开源

#GitHub #web #开源 GitHubUnwrapped 生成 GitHub 年度总结视频,只需输入用户名即可, 如要统计私有仓库,则需登录 GitHub 账号,生成的视频可下载到本地。 开发者可以体验一下,制作的视频效果还不错,因为本身它也是开源项目,还上了 GitHub 的推荐。 频道 @WidgetChannel

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人