GitHub 的秘密扫描功能现已覆盖 AWS、微软、谷歌和 Slack

GitHub宣布改进其秘密扫描功能，将有效性检查扩展到 Amazon Web Services (AWS)、Microsoft、Google 和 Slack 等流行服务。
微软子公司今年早些时候推出了有效性检查，可以提醒用户通过秘密扫描发现的暴露令牌是否处于活动状态，从而可以采取有效的补救措施。它首先是针对 GitHub 令牌启用的。
基于云的代码托管和版本控制服务表示，打算在未来支持更多代币。
要切换设置，企业或组织所有者和存储库管理员可以前往“设置”>“代码安全和分析”>“机密扫描”，然后选中“通过将机密发送给相关合作伙伴来自动验证机密是否有效”选项。
今年早些时候，GitHub 还扩大了所有公共存储库的秘密扫描警报，并宣布推出推送保护功能，以帮助开发人员和维护人员在推送代码之前扫描高度可识别的秘密，从而主动保护其代码。
这一进展正值 Amazon 预览了增强的账户保护要求之际，该要求将从 2024 年中期开始强制AWS Organization账户的特权用户（又称根用户）开启多重身份验证 (MFA)。
亚马逊首席安全官 Steve Schmidt 表示：“MFA 是增强帐户安全性的最简单、最有效的方法之一，它提供了额外的保护层，有助于防止未经授权的个人访问系统或数据。 ”
根据美国国家安全局 (NSA) 和网络安全和基础设施安全局 (CISA) 发布的新联合报告，薄弱或配置错误的 MFA 方法也在十大最常见的网络错误配置中占有一席之地。

这些机构表示：“某些形式的 MFA 容易受到网络钓鱼、‘推式轰炸’、利用 7 号信令系统 ( SS7 ) 协议漏洞和/或‘SIM 交换’技术的影响。 ”
“这些尝试如果成功，可能会允许威胁行为者访问 MFA 身份验证凭据或绕过 MFA 并访问受 MFA 保护的系统。”
其他常见的网络安全错误配置如下：
软件和应用程序的默认配置
用户/管理员权限分离不当
内网监控不足
缺乏网络分段
补丁管理不善
绕过系统访问控制
网络共享和服务的访问控制列表 (ACL) 不足
凭证卫生状况不佳
不受限制的代码执行
作为缓解措施，建议组织消除默认凭据并强化配置；禁用未使用的服务并实施访问控制；优先修补；审计和监控管理帐户和权限。
还敦促软件供应商实施安全设计原则，尽可能使用内存安全的编程语言，避免嵌入默认密码，免费向客户提供高质量的审核日志，并强制采用防网络钓鱼的 MFA 方法。

“这些错误配置说明了（1）许多大型组织中系统性弱点的趋势，包括那些拥有成熟网络态势的组织，以及（2）软件制造商采用设计安全原则以减轻网络防御者负担的重要性，”机构指出。