GitHub存儲庫泄露了API令牌和加密密鑰

北卡羅萊納州立大學(NCSU)學者的一項研究代表，一些GitHub存儲庫泄漏API令牌和密碼密鑰。研究人員分析了分佈在數百萬存儲庫中的10億多個GitHub文件。研究人員使用GitHub搜索API捕獲並分析了681784個圖書館中的4394476個文件，並在Google的BigQuery數據庫中記錄了3374973個圖書館中的23237633353個文件。

研究人員在這些文件中查找了具備特定API令牌或加密密鑰格式的文本字符串，並找到了575456個API和加密密鑰，其中201642個是惟一的，全部這些都分佈在100000多個GitHub項目中。使用Google Search API找到的密鑰與經過Google BigQuery數據集找到的密鑰之間幾乎沒有重疊。研究人員表示，他們追蹤的6％的API和加密密鑰在泄漏後的一小時內被刪除，超過12％的密鑰在一天後被刪除，19％的密鑰暴露了16天。

研究人員說:「這也意味着81%的咱們發現的祕密沒有被刪除。81%的開發者可能不知道這些祕密被泄露，或者低估了風險。」

原文來自：https://www.linuxidc.com/Linux/2019-03/157709.htm

本文地址：https://www.linuxprobe.com/10-github-api.html編輯：周曉雪，審覈員：逄增寶