AI 摘要：本文由白帽黑客 Sharon Brizinov 撰写，详细描述了他如何通过 GitHub Archive 和 GitHub Event API 扫描自 2020 年以来所有公开的“Oops Commits”（即被开发者通过强制推送删除的提交）以寻找泄露的秘密信息。他发现了价值 25,000 美元的漏洞赏金，并与 Truffle Security 合作开源了一款工具 Force Push Scanner，用于帮助组织检测隐藏的提交中的秘密。文章深入探讨了 GitHub 如何永久存储被删除的提交、如何利用 API 和自动化工具发现这些提交中的敏感信息，以及如何通过手动和 AI 辅助的方式筛选出高价值的秘密。

1. 背景介绍
• Sharon Brizinov 是一位专注于 OT/IoT 设备漏洞研究的白帽黑客，偶尔参与漏洞赏金狩猎。
• 此前发表过关于 GitHub 仓库中隐藏秘密的文章，与 Truffle Security CEO Dylan 交流后，决定进一步探索大规模秘密狩猎的新方法。
• 使用 GitHub Event API 和 GH Archive 项目，专注于扫描“零提交推送事件”（即被删除的提交）以发现秘密。

2. 什么是删除提交？
• 解释了开发者通过 git reset 和 git push --force 删除提交的过程，目的是隐藏误提交的敏感信息。
• 指出即使提交被删除，GitHub 仍会永久存储这些“悬挂提交”（dangling commits），通过提交哈希值即可访问。
• 通过示例展示了如何在自己的仓库中模拟删除提交，并证明即使本地看不到，GitHub 依然保留记录。
• 探讨了 GitHub 保留这些提交的原因，可能是为了支持拉取请求、分支、审计等功能。

3. GitHub Event API 的作用
• 介绍了 GitHub Event API，用于获取 GitHub 上的各种事件数据（如推送代码、创建仓库等）。
• 结合 GH Archive 项目（一个开源的 GitHub 事件归档服务），可以访问历史事件数据，避免手动猜测提交哈希。
• 通过筛选“零提交推送事件”（PushEvent Zero-Commit），快速定位被删除的提交。

4. 自动化构建
• 描述了如何通过自动化工具扫描 GH Archive 数据，提取“Oops Commits”，并使用 TruffleHog 扫描其中的秘密。
• 与 Truffle Security 合作开源了 Force Push Scanner 工具，支持组织或用户扫描自己的“Oops Commits”。
• 强调工具的道德使用，仅用于帮助团队评估潜在风险。

5. 寻找高影响力的秘密
• 扫描自 2020 年以来的数据，发现了数千个活跃的秘密。
• 通过手动搜索（过滤公司邮箱相关提交）、自定义工具（vibe-coded 平台用于分类和可视化）和 AI 辅助分析，筛选出高价值秘密。
• 数据显示：MongoDB 秘密泄露最多，但 GitHub PAT 和 AWS 凭据最具价值；.env 文件是泄露最频繁的文件类型。

6. 案例研究：阻止供应链攻击
• 发现了一个开发者泄露的 GitHub PAT，具有对 Istio 项目（一个开源服务网格，拥有 36k 星标）的管理员权限。
• 该权限可能导致大规模供应链攻击，如修改代码、创建发布或删除项目。
• 通过 Istio 的漏洞报告页面及时报告，团队迅速撤销了 PAT，阻止了潜在风险。

7. 总结与反思
• 项目成功发现了大量秘密，Sharon 通过漏洞赏金获得约 25,000 美元。
• 强调“删除提交并不安全”的观念，一旦秘密被提交，应视为已泄露并立即撤销。
• 开源工具和研究成果旨在帮助社区提高安全意识和防护能力。

Trufflesecurity

Guest Post: How I Scanned all of GitHub’s “Oops Commits” for Leaked Secrets ◆ Truffle Security Co.

GitHub Archive logs every public commit, even the ones developers try to delete. Force pushes often cover up mistakes like leaked credentials by rewriting Git history. GitHub keeps these dangling commits, from what we can tell, forever. In the archive, they…