腾讯微信成为 GitHub 秘密扫描合作伙伴

腾讯微信成为 GitHub 秘密扫描合作伙伴 GitHub 官方博客腾讯微信成为其秘密扫描项目的合作伙伴。不是腾讯微信会秘密扫描 GitHub 的所有代码库,而是 GitHub 有一个项目叫秘密扫描(secret scanning),旨在防止开发者的私有令牌对外泄露。 开发者在公开项目中硬编码安全凭证日益成为一个严重的安全隐患,秘密扫描就是在发现这些机密信息后警告开发者。与微信合作意味着 GitHub 将在公开代码库中扫描微信官方帐户和小程序开发者相关的私有令牌,发现之后允许微信撤销这些暴露在外的令牌。

相关推荐

封面图片

GitHub 与微信达成合作 |

GitHub 与微信达成合作 | 微软 GitHub 官方于 12 月 20 日发布公报,宣布 Github 和腾讯微信达成合作,帮助保护所有公共仓库和私有仓库的共同用户。GitHub 密钥扫描会通过搜索存储库中的已知类型的密钥来保护用户。通过识别和标记这些密钥,有助于防止数据泄露和欺诈。腾讯微信令牌则允许用户验证微信公众号和小程序开发者,获取业务应用的敏感信息,并可用于验证商家身份。GitHub 会将在公共仓库中找到的访问令牌转发给微信,微信将通知受影响的用户。微信鼓励用户删除 GitHub 上泄露的 API token,并在微信支付商家平台或微信公众号平台上创建新 token。
封面图片

GitHub 推出只有赞助者能访问的私有库

GitHub 推出只有赞助者能访问的私有库 2019 年 GitHub 推出了开发者赞助项目,旨在帮助开源开发者获得他们所需的资源(或动力)。现在,微软旗下的源代码托管平台更进一步, 推出只有赞助者能访问的私有库。但此举引发了争议,被批评是将开源库变成了付费的闭源库。 GitHub 表示它的想法是让赞助者能在项目早期参与,让开发者和赞助者能展开对话,有助于解决开源库的安全问题。最近曝出的 Log4j 漏洞再次引发了开源软件安全问题的讨论,尤其是那些广泛依赖但缺乏全职开发者维护的开源库的。 solidot
封面图片

GitHub:攻击者利用盗取的OAuth令牌入侵了数十个组织

GitHub:攻击者利用盗取的OAuth令牌入侵了数十个组织 GitHub今天透露,一名攻击者正在使用偷来的OAuth用户令牌(发放给Heroku和Travis-CI),从私人仓库下载数据。 自2022年4月12日首次发现这一活动以来,威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序(包括npm)的受害组织中访问并窃取数据。 "这些集成商维护的应用程序被GitHub用户使用,包括GitHub本身" GitHub的首席安全官(CSO)Mike Hanley今天透露。 "我们不相信攻击者是通过破坏GitHub或其系统来获得这些令牌的,因为GitHub没有以原始的可用格式存储这些令牌。" "我们对威胁行为者的其他行为的分析表明,行为者可能正在挖掘被盗的OAuth令牌所能访问的下载的私有仓库内容,以寻找可用于透支其他基础设施的秘密。" GitHub安全部在4月12日发现了对GitHub的npm生产基础设施的未经授权的访问,因为攻击者使用了一个被泄露的AWS API密钥。 攻击者很可能是在使用偷来的OAuth令牌下载了多个私有npm仓库后获得了该API密钥。 bleepingcomputer
封面图片

接近腾讯人士表示,包括微信在内的多款产品正进行鸿蒙系统的开发适配与技术沟通工作。据了解,除了已经公开亮相华为开发者大会的腾讯视频

接近腾讯人士表示,包括微信在内的多款产品正进行鸿蒙系统的开发适配与技术沟通工作。据了解,除了已经公开亮相华为开发者大会的腾讯视频、腾讯新闻、QQ 浏览器、搜狗输入法、腾讯自选股、QQ音乐、酷狗音乐、酷我音乐、全民K歌、懒人听书、起点读书外,腾讯旗下多款产品已在进行鸿蒙系统的开发适配工作,希望尽快保障用户平滑、安全、稳定地过渡到新系统。 在今日的华为开发者大会2024上,华为常务董事、终端BG董事长、智能汽车解决方案BU董事长余承东发表演讲。他表示,鸿蒙原生应用进入全面冲刺阶段,TOP 5000应用全部启动,满足用户使用时长99.9%,1500多个已经完成上架,18个领域全覆盖。 HarmonyOS NEXT今日面向开发者启动Beta版,华为Mate 60系列、Mate X5、MatePad Pro 13.2英寸等多款设备即日开启升级。预计2024年8月面向消费者启动Beta升级,2024年第四季度随着Mate70系列的上市,推出正式版。
封面图片

腾讯注册微信刷掌商标:手放一下即可付款

腾讯注册微信刷掌商标:手放一下即可付款 微信“刷掌支付”由腾讯优图和微信支付合作推出,用户可在刷脸支付设备上体验刷掌支付。首先,用户需要在刷脸设备上注册手掌并刷脸关联到个人微信账号上,线下消费时,将手掌对着微信支付设备的扫描区,设备确认完成后完成支付 目前腾讯已在部分地区推广非接触式刷掌支付,在授权场景中,可以通过手掌识别快速完成付款或者身份验证 搜集你每一个生物特征
封面图片

梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露

梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露 根据分析梅赛德斯奔驰的 GitHub Enterprise Server 上包含大量机密内容:整个源代码知识产权内容用来连接其他服务的字符串AWS/Azure 连接密钥设计蓝图设计文档SSO 密码API 密钥其他关键信息其中 AWS 和 Microsoft Azure 连接密钥则可以用来登录梅赛德斯奔驰在 AWS 和微软托管的服务器,这又可能导致更多私密数据暴露。开发者不慎在 GitHub 上暴露了令牌:GitHub 允许开发者生成身份验证令牌作为替代密码的验证方案,梅赛德斯奔驰的员工不慎在一个公共 GitHub 中暴露了自己的令牌,这意味着任何人拿到这个令牌后都可以直接访问梅赛德斯奔驰的 GitHub Enterprise Server 并下载所有数据。RedHunt Labs 基于安全验证目的浏览了部分数据,发现里面还包含 AWS 和 Azure 密钥、Postgres 数据库和梅赛德斯的其他源代码等。随后该安全公司通过 TechCrunch 联系梅赛德斯奔驰进行反馈,接到反馈后梅赛德斯奔驰立即确认了问题并撤销了令牌,同时把暴露令牌的整个存储库都删了。是否泄露数据目前还不清楚:扫描显示梅赛德斯奔驰员工是在 2023 年 9 月下旬不慎暴露自己的身份验证令牌,也就是说到撤销的时候已经有几个月,这几个月难免会有其他黑客扫描到令牌进而窃取了所有数据。遗憾的是梅赛德斯奔驰拒绝透露是否知道任何第三方访问了暴露的数据,或者说没人知道该公司有没有能力检查数据遭到异常访问,这可能需要完整的排查过去几个月的日志。 ... PC版: 手机版:

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人