GitHub 官宣微信成为“秘密扫描”合作伙伴，网友：“换个叫法不好吗？”

重新整理 | 郑丽媛

公司出品 | CSDN（ID：CSDNnews）

当开放源码自然生态日渐经济繁荣，并逐渐正式成为位数技术创新发展的关键性商业模式时，各个领域也在积极主动亲吻开放源码。

去年四月，百度发布了这份《2021 年百度研制大统计数据调查报告》，该调查报告表示：截止当时，百度共在 GitHub 上重大贡献了少于 140 个项目，COBOL数目少于 3000 名，获得的全球 Star 数少于 40 万……

除此以外，本周四 GitHub 非官方网志着实正式宣布：“百度QQ现在是 GitHub 绝密扫描器密切合作方。”

“绝密扫描器”，GitHub 发动的两个方案

先T6670，那个“绝密扫描器”并并非什么脆弱犯罪行为，也并非说百度QQ会绝密扫描器 GitHub 的标识符库——绝密扫描（Secret scanning），它只是 GitHub 发动的两个方案中文名称，意在避免开发人员的专有副本对内外泄。

绝密扫描器密切合作方方案：作为提供者，你能与 GitHub 密切合作，透过绝密扫描器为保护你的绝密副本文件格式，该扫描器会搜寻绝密文件格式的不幸递交，并将其发送到提供者的校正西北侧。

单纯而言，GitHub 想透过那个方案，与库房拥有者进行密切合作，对库房进行绝密扫描器以为保护绝密副本文件格式的安全可靠，这种做法有利于避免统计数据外泄和诈欺，为保护使用者免遭副本外泄而导致的危害——去年 4 月，GitHub 安全可靠项目组还发现有骇客冒用 OAuth 副本，外泄了十多个组织机构的统计数据。

与百度QQ密切合作后，GitHub 将扫描器公用库房的

（注：GitHub 方面表示，预设情况下绝密扫描只会发生在公用库房，不过库房图书馆员或组织机构拥有者也能在专有库房上投入使用。）

发现后，GitHub 会把公用库房中找到的访问副本转发给百度QQ，由后者通知受影响的使用者。百度QQ则将建议户删除 GitHub 上外泄的 API 副本，并在QQ支付商家平台或QQ非官方账号平台上创建两个新副本。

下图即 GitHub 在公用库房中进行“绝密扫描器”，并将所有匹配项发送到提供者校正西北侧的整个流程：

务必第一时间更换密钥

根据百度QQ非官方给出的修复指引方案，首先要明确QQ支付的密钥包括以下三种：

APIv2 密钥 (opens new window)，用于 APIv2 所有接口。

商户 API 证书 (opens new window)对应的私钥，用于 APIv2 的高安全可靠级别接口和 APIv3 所有接口。

APIv3 密钥，用于 APIv3 的QQ支付平台证书下载接口以及回调通知。

一旦以上密钥在 GitHub 泄漏，QQ方面表示，务必第一时间更换密钥，仅删除已经泄漏的密钥并不保险，还附上了一段来自 GitHub 的警告：

将递交推送到 GitHub 后，应将递交中的所有脆弱统计数据视为外泄。如果你递交了密码，请更改密码！如果您递交了密钥，请生成新密钥。删除外泄的统计数据并不能解决其初始暴露问题，尤其是在库房的现有克隆或复刻中。

除此之外，QQ还建议开发人员检查其商户系统，排查可疑的日志和QQ支付的交易记录，确认泄漏的密钥是否已经导致影响。

据了解，包括百度QQ在内，目前加入 GitHub 绝密扫描器方案的服务提供商已有 56 家，其中还有 META、Figma、京东云和 Shopify 等。与此同时 GitHub 也在持续呼吁更多提供者积极主动参与这项方案，并提供了加入方式：

联系 GitHub 以启动流程。

识别要扫描器的相关密码，并创建正则表达式来捕获它们。

针对在公用库房中发现的匹配项，创建两个密码警报服务，以便从 GitHub 接受包含 secret scan 消息有效负载的 Webhook。

在密码警报服务中实施签名校正。

在密码警报服务中实施密码撤销和使用者通知。

提供误报的反馈（可选）。

然而，对于这则消息，网民的反应却截然不同，由赞成亦有反对。

赞成

“那个方案能保障我们的安全可靠，避免统计数据外泄，我认为挺好的。”

“近些年来骇客入侵的事例繁多，能减少一些都是好的。”

反对

”GitHub 转发这些’外泄‘的绝密，难道并非在以另一种方式获得访问权限？“

”所以说，只要 GitHub认为是访问副本的所有字符串，就都会转发给百度吗？“

除此之外，还有部分网民对这项方案的中文名称感到些许迷惑，认为有歧义：”尽管我是付费的 GitHub 客户，我仍不知道他们有两个名为’绝密扫描器‘的项目，甚至它还是有益的——但那个名字，我显然会误认为他们在让QQ绝密扫描器我的私人存储库。“

参考链接：

https://pay.weixin.qq.com/docs/merchant/development/key-leak-mitigation-guide.html

https://docs.github.com/en/developers/overview/secret-scanning-partner-program