雷鋒網(wǎng) 3 月 24 日消息，北卡羅來(lái)納州立大學(xué)（NCSU）學(xué)者的一項(xiàng)研究表明，某些 GitHub 倉(cāng)庫(kù)會(huì)泄漏 API 令牌和加密密鑰。研究人員分析了超過(guò) 10 億個(gè) GitHub 文件，這些文件分布在數(shù)百萬(wàn)個(gè)存儲(chǔ)庫(kù)中。

研究人員用 GitHub 搜索 API 捕獲并分析 681784 個(gè)庫(kù)的 4394476 個(gè)文件，另有 3374973 個(gè)庫(kù)的 2312763353 份文件記錄在 Google 的 BigQuery 數(shù)據(jù)庫(kù)中。研究人員在這些文件中尋找具有特定 API 令牌或加密密鑰格式的文本字符串，結(jié)果發(fā)現(xiàn) 575456 個(gè) API 和加密密鑰，其中 201642 個(gè)是唯一的，所有這些密鑰分布在 100000 多個(gè) GitHub 項(xiàng)目中，而且使用 Google Search API 找到的密鑰和通過(guò) Google BigQuery 數(shù)據(jù)集找到的密鑰是幾乎沒(méi)有重疊。研究人員表示，他們跟蹤的 API 和加密密鑰中有 6％ 在泄漏后一小時(shí)內(nèi)被刪除，超過(guò) 12％ 的密鑰在一天后被刪除，而 19％ 的密鑰暴露了 16 天。

消息來(lái)源：創(chuàng)意安天論壇

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。