GitHub上周宣布提供免费扫瞄工具，可帮助开发人员避免经由程式码泄露登入凭证。此外GitHub再新增5类用户，要求在2023年3月底前强制启用双因素验证（2FA）。

GitHub之前经由登入凭证扫瞄合作方案，和服务供应商合作，辨识所有公开储存库内泄露的密码或凭证，以保护双方共同客户。今年他们扫瞄了公开储存的200多个令牌（token）格式，最后通知合作的供应商，有170多万个可能从公开储存库泄露的密码或凭证。现在GitHub将这套工具开放所有免费公开的储存库使用。

这工具会在扫瞄到程式码有密码、金钥或凭证时，直接通知储存库持有者。GitHub表示，他们原先通知服务合作伙伴的工作仍然会持续，但直接通知储存库管理员可使其得知安全性的全貌。而且，即使GitHub无法通知合作伙伴的情况，像是储存库自行管理的HashCorp Vault内的金钥外泄，管理员就能获得通知。管理员可以点入通知检视外泄的来源，以及稽核采取的行为正确与否。

GitHub会陆续将这工具开放给所有公开储存库，预计在2023年1月底以前让所有用户可享受这项功能。

一旦储存库得以使用扫瞄通知功能后，可在设定区的「程式码安全及分析」设定区启用。当中的「安全」页、「漏洞警告」下的侧边选单中选择「凭证扫瞄」可看到侦测的密码或凭证，用户可点选通知检视哪些密码或凭证外泄了、位置何在，以及建议的修复措施。

图片来源／GitHub

GitHub上周也公布进阶安全工具，已经定义了自订凭证样态的储存库用户可以启动推送保护（push protection）。这功能允许用户以储存库、组织或企业层级定义样态（pattern）。启用推送保护后，一旦有贡献者试图将符合样态的凭证推送到程式码内，就会遭到GitHub的阻挡。

图片来源／GitHub

GitHub表示，进阶安全功能4月间释出第一版时，其推送防护已经阻挡了100种凭证共8,000多项凭证免于外泄。

GitHub也号召服务供应商加入其扫瞄合作伙伴方案，目前其方案已有100多家供应商。

5类用户被强制要求启用2FA

此外，继今年5月的预告后，GitHub上周再次重申将在2023年全面强制实施双因素验证（2FA）。一如计划，GitHub已展开要求相依模组超过500个或每周下载次数超过100万的套件强制启用2FA。

图片来源／GitHub

接下来，GitHub将要求自2023年3月开始，以下特定群组必须启用2FA。包括出版GitHub或OAuth App或套件的用户、新增release的用户、企业或组织管理员、贡献程式码到npm、OpenSSF、PyPI、RubbyGems认为很重要的储存库的用户、贡献程式码到排名前400万的公开、或私有储存库的用户。

这些用户会接获GitHub电子邮件通知，要求在45天内完成启用2FA。过了这期限，登入的用户会接到提示讯息一个星期，若置之不理，就会被GitHub阻挡存取。至于用户担心可能因休假而被封锁，GitHub表示，这一个星期的提示会期限过后登入才生效，若未登入则不会启动封锁倒数。