Apache项目开发者提交代码时不慎泄露GitHub令牌 但并非AI造成的问题
#行业资讯 Apache 服务器项目开发者提交代码时不慎泄露 GitHub 令牌,事后开发者解释称这是人为失误,并非使用 AI 辅助提交造成的问题。另外 GitHub 有个机制就是检测凭证泄露,如果检测到 GitHub 令牌就会直接将令牌吊销,接着还会发邮件通知开发者。查看详情:https://ourl.co/112573
知名开源项目 Apache HTTP Server (httpd) 项目上周发布的代码变更引起诸多网友讨论,这次代码变更只是小更新,真正引起关注的是开发者不慎暴露敏感环境变量导致凭据泄露。
经常使用 AI 进行开发的用户可能会想着这肯定是开发者使用 AI 编码时出现的失误,不过后面开发者也解释这次暴露凭据并非 AI 所为,而是开发者自己的操作失误引发的,发现问题后暴露的敏感凭据已被吊销。
这些环境变量里涉及部分个人信息和路径,不过最严重的是 GitHub 令牌,这个令牌可以用来直接向项目提交各种代码,因此如果泄露可能会造成严重的安全问题。
但 GitHub 已经想到有开发者会在提交代码时泄露令牌,所以 GitHub 有个机制:当检测到开发者提交的代码里包含敏感凭据时,就直接发邮件通知开发者立即进行更换。
如果检测到包含 GitHub 的敏感凭据,GitHub 会直接将这个令牌吊销,等到开发者看到邮件或者发现自己的令牌失效时,可以去检查原因并重新生成新令牌,这可以显著降低令牌泄露带来的安全问题。
事后开发者在评论中解释称:
看起来是我用 svn commit -m 时消息里的内容被解释了...(似乎是 set 被解释为 bash/zsh 的 set),所有相关的令牌 (均为只读权限)。
顺便说一句,这不是 AI 辅助提交的,只是因为改动太简单,我偷懒了,抱歉。
