GitHub 快速更换遭暴露的RSA SSH密钥，保障 Git 运营安全

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

基于云的仓库托管服务GitHub 指出，用于保护Git 操作RSA SSH 托管密钥被短暂暴露在一个公开仓库后，“出于谨慎考虑”，将其替换。

RSA SSH密钥替换在UTC（协调世界时）时间2023年3月24日凌晨5点进行，目的是阻止而已人员模拟该服务或者窃听用户通过SSH执行的操作。

GitHub 的首席安全官兼工程高级副总裁 Mike Hanley 指出，“该密钥并无法提供对GitHub 基础设施或客户数据的访问权限。这一变更仅影响使用RSA 经由SSH 的Git 操作。”这一变更并不影响GitHub.com的web流量以及通过HTTPS执行的Git操作。ECDSA或Ed25519用户无需执行任何变更。

GitHub 公司指出，并无证据表明被泄露的SSH密钥遭利用。该公司未说明机密信息遭暴露的时长。该公司强调称，“问题并未由GitHub 系统或客户信息遭攻陷引起“，而是归咎于 ”无意的私密信息发布“。

GitHub 还提醒 GitHub Actions 用户称，如果使用actions/checkout 和ssh-key 选项，则可能发生工作流运行失败的情况，该公司表示目前正在更新所有标记中的这一操作。

就在近两个月前，GitHub 披露称未知威胁行动者设法提取了Mac 版本的GitHub Desktop和 Atom 应用的加密的代码签名证书。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

原文链接

https://thehackernews.com/2023/03/github-swiftly-replaces-exposed-rsa-ssh.html

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。