我最近将我的一些存储库从AWS代码提交移到了GitHub。我不小心把其中一个存储库公开了,而不是私有的。提交代码后不到10分钟,我就收到了Stripe的一封电子邮件,说我的密钥是可以公开访问的,其中包括有密钥的确切文件/代码行。
这是怎么发生的?
- GitHub是否检测到一些敏感信息的存在,并通过一些WebHook通知提供商
- Stripe是否一直在新的存储库中搜寻此类泄漏?听起来几乎不可能这么快发现
我无法理解是什么触发了Stripe端的检测。不过,看到这场比赛我很激动。当然,我已经转动了秘密钥匙。
GitHub有一个组织可以加入的秘密扫描合作伙伴计划。他们为GitHub提供了一个模式,如果发现与之匹配的字符串,GitHub将自动提醒合作伙伴。
我不相信GitHub会公布合作伙伴名单,但我认为Stripe是该项目的成员。