GitHub 和微信合作。。。脱裤子放屁

感觉 op 跑偏了[dog]

已 block 楼主。（由于 V2EX 的 block 功能是单向屏蔽。可能你会回复我的其他评论或帖子，而我看不到。为了节约你的时间，建议互相 block 。谢谢）

@superrichman #77

会不会窃取不属于它的 token：当 token 出现在公共库的时候意味着它已经泄露了，很可能已经被一直在扫描互联网资产的黑产获取到了，这时候你需要的是尽快得知密钥已泄露并更换新密钥，而不是关心它是否被微信或者其他的合作伙伴获取到，更不是掩耳盗铃把仓库设为私有

会不会扫瞄私有仓库、比特币：且不说 token 也不应该出现在私有库。退一步说，你就是想在私有库存储 token ，那你就应该相信 github 啊。如果你不相信 github ，那你为什么要违反安全规范在上面存储 token ？自己创造风险，然后又来质疑风险，这很无厘头

v2ex 上程序员真的越来越少了

GitHub 的做法一点问题都没有，不爽就从 GitHub 删库走人好了。

@superrichman 长的差不多看错那是人会出现的问题，不是计算机会出现的问题

OP 的技术水平诚然对这件事的看法理解有偏差，但你们真的愿意看到腾讯参与到和国际主流公司的安全合作中吗？洼国的局域网公司本身就是为当局服务的间谍软件，是安全威胁本身

之前不小心把阿里云的密钥传到 GitHub 了，然后过了几个月阿里云通知才知道

没具体看怎么实现的 我自己想了一下一个可能的工作流:
1. github 检测所有公开的项目并把查到的 token 广播给所有合作方
2. 合作方收到后不给 github 任何反馈，系统内排查到相同 token 直接在系统内部直接通知 token 主人
这样做不用管 token 到底是哪一家的，也不用担心有人利用这个机制撞库。