本文首次对GitHub上的秘密泄露进行了大规模和纵向的分析。使用两种互补的方法检查收集到的数十亿个文件:近六个月的实时公共GitHub提交的扫描和一个涵盖13%开放源码存储库的公共快照。...一、简介 自2007年创建以来,GitHub已经建立了一个由近3000万用户和2400万公共存储库组成的庞大社区。除了仅存储代码之外,GitHub旨在鼓励软件的公开、协作开发。...不幸的是,GitHub的公共性质常常与将身份验证凭证保持为私有的需要相冲突。因此,这些秘密常常是-无意或有意的-作为公开存储库的一部分。这类秘密泄露以前就被利用过。...GitHub提供了一个搜索引擎API,允许用户查询存储库中的代码内容、元数据和活动。从2017年10月31日到2018年4月20日对Github进行了近6个月的持续查询,对其进行了纵向分析。...Github通过Google BigQuery提供了所有开放源代码许可存储库的每周可查询快照。此数据集中的所有存储库都显式地具有与它们相关联的许可证,这直观地表明该项目更加成熟并可以共享。
作者 | 褚杏娟 近日,知名身份认证管理解决方案提供商 Okta 表示,其私有 GitHub 存储库在本月遭到黑客攻击,Okta 的源代码遭窃取。...早些时候,GitHub 警告 Okta 有黑客对其代码存储库进行了“可疑访问”,并确定该黑客复制了与该公司 Workforce Identity Cloud (WIC) 相关的代码,WIC 是一种面向企业的访问和身份管理工具...在得知可疑访问后,Okta 对访问 GitHub 存储库设置了临时限制,暂停了 GitHub 与第三方应用程序的集成。...此外还审查了最近对 GitHub 托管的 Okta 软件存储库的所有访问和提交,并轮换了 GitHub 凭据等。Okta 预计,此事件不会中断其业务或为其客户提供的服务。...9 月,作为独立公司运营的 Auth0 表示,在被收购之前发生了一起“安全事件”,涉及 2020 年 10 月及更早时间与代码有关的存储库。
有些语言自身提供了目录结构规范,但对于较为年轻的 Golang,目前官方团队并未提供权威规范。...# Go 代码目录 |--cmd 可执行文件目录 |--internal 私有库代码(仅本项目使用) |--pkg 公有库代码(外部项目可以使用) |--vendor 外部依赖库 # 服务应用程序目录.../internal 私有库代码(仅本项目使用)。 这里放不希望被其他应用程序或者库导入的代码。...注意,在一些存储库中(特别是使用 kubernetes 部署的应用程序),这个目录被称为 /deploy。 /test 测试相关。 如放置测试工具和测试依赖数据。...项目配套工具,实现这些工具可以使用从 /pkg 和 /internal 导入代码。 /examples 应用程序和公共库的示例。
自动修复并不总是可取的:如果任何所需模块不提供导入的包,Go 命令将添加新的依赖项,可能触发常见依赖项的升级。即使输入路径拼写错误,也会导致(失败的)网络查找。...proxy.golang.org 或直接从版本控制存储库下载模块源代码,使用 git、hg、svn、bzr 或 fossil。...公共和私有的特殊模式匹配公共和私有模块(私有定义为与 GOPRIVATE 中的模式匹配的模块;公共是其他一切模块)。vcslist 是允许版本控制命令或关键字 all 或 off 的管道分隔列表。...例如: GOVCS=github.com:git,evil.com:off,*:git|hg 使用此设置,可以使用 git 下载带有 github.com 路径的模块;无法使用任何版本控制命令下载 evil.com...如果未设置环境变量 GOVCS,或者如果模块与任何模式不匹配,Go 命令将使用 GOVCS 的默认值:允许 git 和 hg 用于公共模块,并且允许所有工具用于私有模块。
系统中的源存储库下载,如GitHub、Bitbucket、Bazaar、Mercurial或SVN。...使用GOPROXY有不同的方法,这取决于你想使用的go模块依赖的来源,通常有公共的GOPROXY,私有Go Module,以及私有的GOPROXY 公共GOPROXY 公共GOPROXY是一个集中式的存储库...它缓存了大量开源的Go模块,这些模块可以从第三方公开访问的VCS项目存储库中获得。...公共模块通过在二进制存储库管理器(如JFrog Artifactory)中代理一个公共GOPROXY缓存到企业内部网络。 私有模块也可以从VCS repos缓存到改存储库中。...在Artifactory中,您可以通过设置GoCenter的远程存储库(remote reposiroty),以及指向私有GitHub 仓库(用于私有模块)的远程Go模块存储库,以及本地Go模块存储库,
截至2020年1月,GitHub是世界上最大的源代码宿主,并拥有超过1亿个软件存储库(其中2800万个是公共存储库),使用该平台的用户超过4000万。...资料来源:Octoverse GitHub商业模式 GitHub遵循免费增值模式,该模式允许用户免费创建无限的公共和私有存储库。...这些是GitHub所有用户可用的基本常规功能。 这就提出了一个问题– 如果GitHub允许免费帐户本身创建无限数量的公共和私有存储库,那么GitHub如何赚钱?...这是不同的GitHub计划– 资料来源:GitHub GitHub Free – GitHub Free计划允许其用户创建无限数量的公共和私有存储库,唯一的限制是私有存储库的协作者数量限制为3。...GitHub Pro – GitHub Pro计划为私有存储库增加了无限的合作者,并增加了1GB的GitHub软件包存储空间和每月3,000分钟的操作时间。
例如: $ go test ok mypackage 0.032s 包的发布 为了让别人方便地使用我们的代码,我们可以将其打包并上传到一个公共代码库中。...Go语言内置的工具go提供了一种简单的方式来完成这个过程。 首先,需要设置好环境变量GOPATH和GOBIN。GOPATH指定了所有Go项目所在的根目录,而GOBIN指定了所有可执行文件的输出路径。...例如: export GOPATH=$HOME/go export GOBIN=$HOME/bin 然后,我们就可以使用go get命令从远程代码库(例如GitHub)中下载代码并安装它了。...例如: $ go get github.com/user/repo/... 这个命令会将repo中所有的包和依赖库都下载到本地,并将可执行文件保存在GOBIN目录下。...它可以自动下载并管理依赖库,同时提供了版本管理和语义化版本支持。
而之所以名字叫做‚区块‛链,顾名思义,是因为区块链存储数据的结构是由网络上一个个“存储区块”组成一根链条,每个区块中包含了一定时间内网络中全部的信息交流数据。...相关的应用囊括数据库管理、审计、甚至一个公司,尽管在有些情况下希望它能有公共的可审计性,但在很多的情形下,公共的可读性并非是必须的。...]# mkdir /opt/software [root@localhost ~]# cd /opt/software [root@localhost software]# wget https://github.com...可以看到在该子目录下生成的 geth 这可执行文件。 这样,我们的以太坊就安装完成了。...句话,并自动进入geth的命令行则说明以太坊私有链安装成功了。 到目前为止,我们的私有链就搭建成功了。
【热搜】GitHub发布Python安全警告 近日,GitHub宣布了Python安全警告,使Python用户可以访问依赖图,并在他们的库所依赖的包存在安全漏洞时收到警告。...GitHub会根据MITRE的公共漏洞列表(CVE)来跟踪Ruby gems、NPM和Python程序包中的公共安全漏洞。当GitHub收到新发布的漏洞通知,就会扫描公共库。...发现漏洞时,会向受影响的库的所有者和有管理员权限的用户发送安全警告。此外,GitHub永远不会公开披露任何库中发现的漏洞。 ?...在这些受感染的应用程序中,一个 APK 可能包含多个不同位置的恶意 PE可执行文件。 ?...黑客利用了SMS拦截,在入侵账号之后,访问了一个保存有2005年到2007年5月之间用户数据的备份数据库,获取了账号凭证(用户名和加盐哈希密码),电子邮件地址和所有公开及私有内容。
在 Octoverse 报告中,我们统计了公共和私有存储库每个贡献者使用的主要语言,以及使用主要语言创建和标记的存储库的数量。...此时,GitHub 总共拥有近 100 万个存储库,而新的 JavaScript 服务器如 Node.js(2009 年推出)让开发人员可以为客户端和服务器使用相同的代码。...截至 2018 年 9 月 30 日,贡献者使用最多的编程语言 JavaScript 也是公共和私有存储库中贡献者使用最多的语言,这在全世界任何地方的任何组织中都是如此。...但是,我们也看到了 GitHub 上新语言的兴起。去年,TypeScript 进入了所有地区公共、私有和开源存储库编程语言 Top10。...Python 的多功能性和互操作性也让人印象深刻,例如,开发人员可以直接从 Swift 调用 Python API。
除了这个大福利,企业版本也降低了价格,还提供免费的持续集成和超大存储空间,今天我们就先睹为快,看看GitHub这些新特性。...4月14日,GitHub 的CEO Nat Friedman在官网上发布声明说, “我们很高兴宣布,我们将为所有 GitHub 用户提供方便无限协作的私有库。...换句话说,开发团队现在可以在GitHub上面协作处理各种开发工作,包括CI/CD持续集成和部署,项目管理、代码审查等等,同时提供500MB的存储空间和每月多达2000分钟的GitHub Actions免费访问时长...不过GitHub还是为这些国家争取到了访问免费公共仓库服务的权限,也在积极和美国监管机构协商,希望提供免费的私有仓库。...开发者这下省心了,免费协作还能持续集成 不限人数的私有库:Private Repository 如果你想存储一些私人项目,那么你可以选择GitHub的私有库,如果你一个人来开发项目这当然没问题,但是有些情况你需要更多的人来协作
对于开发人员来说,在这些存储库之间移动变得更加无缝。此外,由于这些脚本在存储库之间同步,因此对 Arcade 存储库中的原始副本进行新更改可以快速将新功能或行为引入完全采用共享工具的存储库。...共享 Azure DevOps 作业和步骤模板 虽然定义公共存储库"语言"的脚本主要针对与人交互,但 Arcade 还有一组 Azure DevOps 作业和步骤模板,允许 Arcade 存储库与 Azure...我们从以下工作大致概要出发: 将所有逻辑保存在代码中,在 GitHub 中。随时随地使用 YAML 管道。 有一个公开和私有项目。...公开项目将通过 GitHub 存储库和 PR 运行所有公共 CI,正如我们始终拥有的 私有项目将运行官方 CI 是我们需要进行的任何私人更改的场所,在存储库中匹配公共 GitHub 仓库 只有私有项目才能访问受限制的资源...使用模板表达式来区分公共项目和私有项目,其中行为必须分,或者仅访问私有项目中可用的资源。虽然这通常使整个 YAML 定义更混乱一些,但这意味着: 进行流程更改时,爆掉的可能性较低。
莱顿高级计算机科学研究所的研究人员在GitHub上发现了数以千计存在问题的存储库,这些存储库为各种漏洞提供虚假的概念验证(PoC),并借此隐藏传播恶意软件。...数据收集和分析 研究人员使用以下三种机制分析了47300多个储存库,包含2017年至2021年期间披露的漏洞: IP地址分析:将PoC的发布者IP与公共封锁名单以及VT和AbuseIPDB进行比较。...二进制分析:对提供的可执行文件及其哈希值运行VirusTotal检查。 十六进制和Base64分析:在执行二进制和IP检查之前对混淆的文件进行解码。...二进制分析检查了一组6160个可执行文件,发现共有2164个恶意样本托管在1398个存储库中。...目前,研究人员已经将他们发现的所有恶意软件库报告给GitHub,但在所有这些软件库被审查和删除之前,还需要一些时间,所以许多软件库仍然对公众开放。
在New Repository时, 选择创建公共仓库,然后勾选上创建README,最后别忘了并选择开源协议。此处我们选择的是MIT协议,下方会对Github上支持的开源协议进行介绍。 ?...创建私有的Specs仓库来管理私有的依赖仓库是很有必要的。接下来就介绍一下如何创建私有的Sepcs仓库,然后把我们私有的依赖库发布到我们自己的Specs仓库中。...下方以Github为例,会在Github上创建相关的Specs 1、创建私有Specs Repo 首先我们需要做的是在Github上创建一个名为Specs的仓库(该仓库的名字可以根据具体情况命名)。...2、将私有依赖库工布到自己的Specs仓库中 经过第一步就算创建并关联好了我们私有的Specs仓库了,接下来我们就该将私有的依赖仓库发布到我们自己的Specs仓库中了。...我们也可以从github来查看发布的依赖库的相关信息,如下所示。该结构与CocoaPods的Specs仓库时差不多的。 ?
GitLab首席执行官Sid Sijbrandij表示:“GitHub今天宣布推出免费的私人存储库。GitLab从一开始就在私有存储库上提供了无限的合作伙伴。...GitHub的官网也宣布了这一消息: 今天我们宣布两个主要更新,让开发人员更容易访问GitHub:无限制的免费私有存储库,以及更简单、统一的企业产品。我们对免费企业产品的这些更新感到非常兴奋。...现在免费的Github包含无限的私有存储库。开发人员第一次可以将GitHub用于他们的私人项目,每个存储库最多有三个协作者免费使用。...公共存储库仍然是免费的(当然没有更改),并且包含无限的合作者。...当然,开源贡献者仍然拥有在公共存储库上进行协作所需的一切,包括我们免费版本的Github团队。
Go语言的依赖管理经历了从GOPATH到Go Modules的演变,这两者都是为了更好地组织项目和管理第三方库。本文将介绍两者的基本概念、常见问题、易错点以及如何避免这些问题,同时提供代码示例。...一、GOPATH时代在Go 1.11之前,GOPATH是Go项目的基础路径,它包含了src、bin和pkg三个子目录,分别存储源代码、可执行文件和编译后的包对象。...二、Go Modules自Go 1.11引入,Go Modules为Go项目提供了更现代的依赖管理方式,无需设置GOPATH,直接在项目根目录下创建go.mod文件。.../external/library => /path/to/local/checkout)问题:模块私有化导致的访问问题。...解决:使用go mod vendor创建本地vendor目录,或者使用私有模块托管服务。三、总结从GOPATH到Go Modules,Go语言的依赖管理变得更加灵活和高效。
窃取微软GitHub超500GB数据 就在前几日,一名叫做Shiny Hunters的黑客,联系了国外安全网站Bleepingcomputer,并声称: 从微软的 GitHub 私人存储库中窃取了超过500GB...并且,在发送到 BleepingComputer 的目录列表和其他私有存储库的样本中,被盗取的数据似乎主要是代码样本、测试项目、电子书和其他通用项目。...其中不乏一些比较有趣的私有存储库,比如名为“wssd云代理”、“Rust/WinRT语言投影”和一个叫“PowerSweep”的PowerShell项目的存储库。...但也需要警惕,私有API密钥或密码会意外地落在某些私有存储库中。 ?...虽然微软很多的内部代码是由GitHub托管,但是,Github 上的微软帐户似乎只是一个公共存储库,或者说是一个已经准备好公开的存储库。 ?
pkg目录:go源码包编译生成的lib文件存储的地方 在 Go1.11 之前,import 包时的搜索路径 GOROOT/src: 该目录保存了Go标准库代码(首先搜寻导入包的地方) GOPATH/src...,Go 命令会去 Go 校验数据库(如默认配置的 sum.golang.org 或中国大陆官方校验和数据库 sum.golang.google.cn )查询并获取该模块的校验和,如果下载的模块代码与校验和不匹配...将 GOPROXY 设置为 "off" 不允许从任何源下载模块。你也可以设置多个代理,通过逗号(,) 或者管道符号(|)分隔开,模块从左至右设置的代理中查找获取,直到获取模块成功或失败返回。...proxy.golang.org 下载代码,然后通过公共校验和数据库 sum.golang.org 获取模块校验和实现校验,但是有时候公司需要实现私有化依赖,即可以控制哪些模块可以不使用公共代理或校验数据库...# 也可以单独编译我们的可执行文件,并指定生成名称 $ go build -o bin/hello_rename cmd/hello/hello.go 在 bin 目录下默认生成 hello 名称的可执行文件
DockerHub DockerHub 是由Docker Inc提供的基于云的注册服务。它是默认的公共容器注册表,您可以在其中存储、管理和分发Docker映像。...DockerHub的功能 公共和私有存储库: 将您的映像存储在公共存储库中,所有人都可以访问,或选择访问仅限于您的团队或组织的私有存储库。...自动构建: DockerHub与流行的代码存储库(如GitHub和Bitbucket)集成,允许您为您的Docker映像设置自动构建。...Quay.io 还提供自动构建、细粒度用户访问控制和 Git 存储库集成等功能。...GHCR 提供细粒度访问控制、与 GitHub Actions 的无缝集成以及支持存储公共和私有映像。 综上所述,有几个 DockerHub 替代品可用,每个替代品都具有不同的功能和功能。
领取专属 10元无门槛券
手把手带您无忧上云
