Анонимное хранение кода в сервисе Gist от GitHub скоро будет недоступно

  • Игры
(adsbygoogle = window.adsbygoogle || []).push({});
Разработчики команды GitHub решили убрать возможность анонимного использования Gist из-за большого количества спама. Изменения не затронут тех, кто размещает код от своего имени.

Разработчик команды GitHub spicycode объявил о том, что пользователи сервиса Gist больше не смогут использовать его в анонимном режиме. Он пояснил ситуацию большим объёмом спама в сервисе. Он добавил, что многие пользователи уже используют Gist регулярно с другими инструментами и хранят код от своего имени. Уже созданные анонимные фрагменты кода останутся доступными, но для того, чтобы создать новые, пользователям придется создать аккаунт GitHub. Возможность хранения кода будет недоступна уже 19 Марта в 22:00 по Москве.

Напомним, что Gist — это сервис хранения фрагментов кода, созданный командой GitHub. Также пользователи могут использовать его в паре с текстовым редактором Sublime Text, что даёт возможность сохранять фрагмент кода в пару кликов.

Опенсорсный инструмент TruffleHog ищет секретные ключи в репозиториях GitHub

(adsbygoogle = window.adsbygoogle || []).push({}); Независимый исследователь Дилан Айри (Dylan Ayrey) представил бесплатный инструмент TruffleHog, который был создан для разработчиков. Написанное на Python решение позволяет искать в репозиториях секретные ключи различной криптографической силы, которые могли быть случайно забыты в коде.

Хакер: Опенсорсный инструмент TruffleHog ищет секретные ключи в репозиториях GitHub

По словам разработчика, TruffleHog проанализирует все коммиты во всех ветках проекта, опираясь на энтропию Шеннона. Утилита внимательно проверит весь код и уделит особое внимание строкам длиннее 20 символов, содержащим как шестнадцатеричные символы, так и base64. Если TruffleHog обнаружит высокую энтропию и строку длиннее 20 символов, она отобразится на экране, так как, вероятнее всего, это случайно забытый в коде секретный ключ, к примеру, от Amazon Web Services (AWS). Для работы инструменту понадобится лишь GitPython.

Пользователи на Reddit пишут, что Amazon уже использует подобные инструменты для поиска ключей Amazon Web Services на GitHub. Дело в том, что забытые в публичных репозиториях ключи зачастую похищают злоумышленники, и потом законному владельцу аккаунта выставляют огромные счета. Так как сотрудники Amazon не хотят тратить лишнее время на разбирательства и возврат средств, компания предпочитает превентивно банить аккаунты невнимательных разработчиков.
Читать дальше