北卡罗来纳州立大学(ncsu)学者的一项研究表明,某些 github 仓库会泄漏 api 令牌和加密密钥。研究人员分析了超过 10 亿个 github 文件,这些文件分布在数百万个存储库中。研究人员用 github 搜索 api 捕获并分析 681784 个库的 4394476 个文件,另有 3374973 个库的 2312763353 份文件记录在 google 的 bigquery 数据库中。
研究人员在这些文件中寻找具有特定 api 令牌或加密密钥格式的文本字符串,结果发现 575456 个 api 和加密密钥,其中 201642 个是唯一的,所有这些密钥分布在 100000 多个 github 项目中,而且使用 google search api 找到的密钥和通过 google bigquery 数据集找到的密钥是几乎没有重叠。研究人员表示,他们跟踪的 api 和加密密钥中有 6% 在泄漏后一小时内被删除,超过 12% 的密钥在一天后被删除,而 19% 的密钥暴露了 16 天。
试用申请