Web3 极客日报 #1768 | Rebase Network | Rebase 社区
1. 扫描GitHub“误删提交”中的泄露密钥 https://trufflesecurity.com/blog/guest-post-how-i-scanned-all-of-github-s-oops-commits-for-leaked-secrets @Harry:安全研究员Sharon Brizinov利用GitHub Archive和事件API,扫描了所有因强制推送(force push)而被“删除”的提交(称为“Oops Commits”),发现其中包含大量未撤销的敏感密钥(如GitHub PAT、AWS凭证等)。通过自动化工具和开源项目TruffleHog,他识别出价值25,000美元的漏洞赏金密钥,并揭示了一个可能导致Istio供应链攻击的高危案例。研究证明,GitHub不会真正删除提交,泄露的密钥需立即撤销而非依赖历史重写。文末还开源了扫描工具,供组织自查风险。 2. gh-dash https://github.com/dlvhdr/gh-dash @Cedric:一个漂亮的 GitHub CLI...