GitHub 和微信合作。。。脱裤子放屁

https://github.blog/changelog/2022-12-19-tencent-wechat-is-now-a-github-secret-scanning-partner/

GitHub will forward access tokens found in public repositories to Tencent WeChat, who will notify affected users.

Github 扫瞄项目中泄漏的 token ，然后发给微信，然后微信再通知用户？？？这是什么中间商赚差价的操作？ Github 你 tm 就不能直接通知用户？

PS: 一点阴谋论, 有没有其它信息发给微信了？

superrichman

2022-12-20 13:15:18 +08:00

@janus77 我直接伪造配置文件代码，生成一堆文件，每个文件枚举一个 token ，copilot 能分辨的出？

假设我有个阿里云的 token ，长得和微信的类似，这个 token 发给微信到底是否合适？如何保证我的阿里云 token 不会被微信恶意使用？

superrichman

2022-12-20 13:16:45 +08:00

@Kangtai 一样的，不论是国内还是国外，这种集中收集敏感信息的行为，无论是推给哪个厂商都是很危险的。

hidemyself

2022-12-20 13:21:10 +08:00

@superrichman #21 你有一个阿里云的 token ，长得和微信类似，你怎么知道你的这个 token 不会被其他机构扫出来使用？

janus77

2022-12-20 13:22:25 +08:00

@superrichman #22 第一个问题，用你的“发给用户”这个方案同样存在这个问题。而且这种情况基本上不需要考虑，就好像我发了一个方案你觉得不好，列举出一两个极端例子就为了证明这个方案不好，然后你就把整个方案废弃了？
第二个问题，copilot 能识别是阿里云还是微信。况且我说了，copilot 只是一个举例，而且他也只是初步识别，你所谓的各种伪装、迷惑方案真的会出现很多吗？即使出现了，又真的能骗过 github 所持有的一整套 AI 技术吗？（再次强调，copilot 只是一个举例，背后是一整套 AI 技术）

alexkuang

2022-12-20 13:24:19 +08:00

@superrichman 自己去算算概率，你要是能随随便便枚举出碰撞的 token 那黑客也能，那黑客干嘛还盯着泄漏的密钥直接自己一个一个枚举不就完了。
github 的做法很标准，早就在和其他国外各种 api provider 这样合作了，没有任何问题。只有微信知道泄露的 token 属于谁，所以交给微信去通知。

learningman

2022-12-20 13:24:30 +08:00

@superrichman
1.哪来的 copilot?
2.是分辨不出，但是影响啥了？大概率压根不存在这个 token 。
3.你 token 都传到 public 仓库了，现在全世界都知道了，还介意阿里云还是微信知道？

你现在生成个 scope 为空的 github token 传到个 public 仓库，马上就有一堆 saas 厂商给你发警告邮件，不信就按我说的复现下。

superrichman

2022-12-20 13:25:27 +08:00

@dzdh
#17
3. 是的，它推送的内容，后续会被如何使用是未知的
5. 找个正常的项目配置文件伪造整个配制文件就行了，一个文件一个 token ，弄一堆零散的文件出来。就比如生产配置和测试配置通常是类似的内容，只是里面的一些配置不一样。批量生成一堆配置

janus77

2022-12-20 13:26:18 +08:00

@superrichman #22 其实说白了，这个合作只是一个松散的合作，不是是什么严谨的商业产品，只是为了安全性的一点点提高而已，竟遭到你如此的抵触？就算我识别不出来，不发就是了，我发我能识别的不行吗？你所想象的各种伪装、迷惑手段，有多少人会闲的蛋疼去干这事？

8675bc86

2022-12-20 13:30:48 +08:00

这 OP 笨死了，github 早就有这个功能了，这是加入了新的 partner ，这是非常牛逼好用的功能，别动不动就阴谋论。

superrichman

2022-12-20 13:32:41 +08:00

@alexkuang 密钥一般会有监测防护机制，比如一个 ip 尝试了多少次不同的密钥都失败了，就屏蔽这个 ip ，所以这种枚举的成本很大。但是，对这种内部主动扫瞄一般是不会限制，这里的枚举攻击是有可能的。

jamosLi

2022-12-20 13:33:11 +08:00

@superrichman 存在安全隐患的东西为什么不能推出去？那要怎么办？扔着不管，最后来个大的？ csdn 上海阿里云？什么奴性思维。

alexkuang

2022-12-20 13:35:25 +08:00

楼主先把事实情况捋清再发表观点吧…别嘴硬了…但凡有点背景常识并且读完了上面那篇博客都不会这么杠，不够建议补充阅读：

https://docs.github.com/en/developers/overview/secret-scanning-partner-program

jamosLi

2022-12-20 13:35:30 +08:00

@8675bc86 是的阿里云早就有了，之前公司有人把项目传 github 忘记删 token ，阿里云直接就短信阿里云账户管理员了。

eason1874

2022-12-20 13:36:41 +08:00

@superrichman #13 最简单的 secret 都有字母和数字组成的 32 个字符。你觉得可以办到，那你就去试试呗 😂

当你的 secret 发布在 github 公开库的时候就已经泄露了，github 再发给微信是试图止损，不是泄露。这么简单的逻辑都不能理解的话，我建议你以后不要碰网络安全这部分内容，全部交给同事

jamosLi

2022-12-20 13:58:18 +08:00

@superrichman GitHub 给你发的邮件你看吗？难道要一有 token 就给你 private ？行业这么干了至少也小十年了，你觉得他们没想到？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/903703

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.