GitHub 与微信达成合作 | 原文

GitHub与微信达成合作微软GitHub官方于12月20日发布公报,宣布Github和腾讯微信达成合作,帮助保护所有公共仓库和私有仓库的共同用户。GitHub密钥扫描会通过搜索存储库中的已知类型的密钥来保护用户。通过识别和标记这些密钥,有助于防止数据泄露和欺诈。腾讯微信令牌则允许用户验证微信公众号和小程序开发者,获取业务应用的敏感信息,并可用于验证商家身份。GitHub会将在公共仓库中找到的访问令牌转发给微信,微信将通知受影响的用户。微信鼓励用户删除GitHub上泄露的APItoken,并在微信支付商家平台或微信公众号平台上创建新token。

相关推荐

封面图片

微软 GitHub 与 微信 达成合作,帮助防护用户隐私

微软GitHub与微信达成合作,帮助防护用户隐私https://www.ithome.com/0/662/414.htmhttps://github.blog/changelog/2022-12-19-tencent-wechat-is-now-a-github-secret-scanning-partner/这里的“用户”指的是微信商户和小程序开发者吧?========防止重要APIKey意外泄漏这玩意漏了基本就...
封面图片

腾讯微信成为 GitHub 秘密扫描合作伙伴

腾讯微信成为GitHub秘密扫描合作伙伴GitHub官方博客腾讯微信成为其秘密扫描项目的合作伙伴。不是腾讯微信会秘密扫描GitHub的所有代码库,而是GitHub有一个项目叫秘密扫描(secretscanning),旨在防止开发者的私有令牌对外泄露。开发者在公开项目中硬编码安全凭证日益成为一个严重的安全隐患,秘密扫描就是在发现这些机密信息后警告开发者。与微信合作意味着GitHub将在公开代码库中扫描微信官方帐户和小程序开发者相关的私有令牌,发现之后允许微信撤销这些暴露在外的令牌。——
封面图片

GitHub:攻击者利用盗取的OAuth令牌入侵了数十个组织

GitHub:攻击者利用盗取的OAuth令牌入侵了数十个组织GitHub今天透露,一名攻击者正在使用偷来的OAuth用户令牌(发放给Heroku和Travis-CI),从私人仓库下载数据。自2022年4月12日首次发现这一活动以来,威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序(包括npm)的受害组织中访问并窃取数据。"这些集成商维护的应用程序被GitHub用户使用,包括GitHub本身"GitHub的首席安全官(CSO)MikeHanley今天透露。"我们不相信攻击者是通过破坏GitHub或其系统来获得这些令牌的,因为GitHub没有以原始的可用格式存储这些令牌。""我们对威胁行为者的其他行为的分析表明,行为者可能正在挖掘被盗的OAuth令牌所能访问的下载的私有仓库内容,以寻找可用于透支其他基础设施的秘密。"GitHub安全部在4月12日发现了对GitHub的npm生产基础设施的未经授权的访问,因为攻击者使用了一个被泄露的AWSAPI密钥。攻击者很可能是在使用偷来的OAuth令牌下载了多个私有npm仓库后获得了该API密钥。——bleepingcomputer
封面图片

金山办公与奇安信达成战略合作

金山办公与奇安信达成战略合作6月13日,金山办公与奇安信集团在北京签署战略合作。双方将在网络安全技术创新、产品开发及市场拓展等多个维度展开深入合作,共同推动我国办公软件行业的安全升级与智能化转型。此外,双方还计划共同打造联合创新实验室,开发一系列覆盖终端安全、边界安全、漏洞与威胁情报、AI安全、代码安全、数据安全、云安全、信创安全等多个层面的安全解决方案。这些方案将为各种数字化办公场景提供强大的威胁防护能力,确保企业数据和运营的安全性。
封面图片

GitHub Enterprise Server 源代码在昨晚遭到泄露

GitHubEnterpriseServer源代码在昨晚遭到泄露在GitHub官方DMCA仓库的一次可疑提交中,一个不明身份的人利用GitHub应用中的一个BUG,冒充NatFriedman上传了机密源代码。其目的可能是出于对前段时间Youtube-dl仓库被移除事件的愤怒。按照Friedman的说法,泄露的代码其实是GitHubEnterpriseServer,而不是GitHub网站本身。虽然GitHub和GitHubEnterpriseServer都没有公开代码,但GitHubEnterpriseServer的代码经常会以精简和混淆的形式定期交付给客户。按照Friedman的说法,GitHub在几个月前意外地给一些客户提供了一个完整的、非混淆的GHES压缩包,这就是被泄露到GitHub公共DMCA仓库中的代码。来源:https://unfoldtimes.com/githubs-source-code-was-leaked-on-github-last-night-sort-of/
封面图片

微软AI研究员在 GitHub 意外泄露 38TB 私密数据

微软AI研究员在GitHub意外泄露38TB私密数据云安全公司Wiz发布报告,发现属于微软AI研究部门的一个储存库出现了意外数据泄露,其目的是提供图像识别模型代码和AI模型下载。扫描显示该帐户包含了38TB的额外数据,其中包括Microsoft员工的个人电脑备份。这些备份包含敏感的个人数据,包括Microsoft服务的密码、密钥以及来自359名Microsoft员工的30000多条聊天记录。这种情况是Azure共享访问签名(SAS)令牌配置的权限过高导致。该签名URL被配置为了"完全控制"权限而不是只读权限,这意味着攻击者可以查看存储帐户中的所有文件,还可以删除和覆盖现有文件。甚至可能已将恶意代码注入到该存储帐户中的所有AI模型中,感染每个信任MicrosoftGitHub存储库的用户。投稿:@ZaiHuaBot频道:@TestFlightCN

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人