#优质博文 #GitHub #安全
各方面意义上的直呼 NB。
Guest Post: How I Scanned all of GitHub’s “Oops Commits” for Leaked Secrets

AI 摘要：本文由白帽黑客 Sharon Brizinov 撰写，详细描述了他如何通过 GitHub Archive 和 GitHub Event API 扫描自 2020 年以来所有公开的“Oops Commits”（即被开发者通过强制推送删除的提交）以寻找泄露的秘密信息。他发现了价值 25,000 美元的漏洞赏金，并与 Truffle Security 合作开源了一款工具 Force Push Scanner，用于帮助组织检测隐藏的提交中的秘密。文章深入探讨了 GitHub 如何永久存储被删除的提交、如何利用 API 和自动化工具发现这些提交中的敏感信息，以及如何通过手动和 AI 辅助的方式筛选出高价值的秘密。

1. 背景介绍
• Sharon Brizinov 是一位专注于 OT/IoT 设备漏洞研究的白帽黑客，偶尔参与漏洞赏金狩猎。
• 此前发表过关于 GitHub 仓库中隐藏秘密的文章，与 Truffle Security CEO Dylan 交流后，决定进一步探索大规模秘密狩猎的新方法。
• 使用 GitHub Event API 和 GH Archive 项目，专注于扫描“零提交推送事件”（即被删除的提交）以发现秘密。

2. 什么是删除提交？
• 解释了开发者通过 git reset 和 git push --force 删除提交的过程，目的是隐藏误提交的敏感信息。
• 指出即使提交被删除，GitHub 仍会永久存储这些“悬挂提交”（dangling commits），通过提交哈希值即可访问。
• 通过示例展示了如何在自己的仓库中模拟删除提交，并证明即使本地看不到，GitHub 依然保留记录。
• 探讨了 GitHub 保留这些提交的原因，可能是为了支持拉取请求、分支、审计等功能。

3. GitHub Event API 的作用
• 介绍了 GitHub Event API，用于获取 GitHub 上的各种事件数据（如推送代码、创建仓库等）。
• 结合 GH Archive 项目（一个开源的 GitHub 事件归档服务），可以访问历史事件数据，避免手动猜测提交哈希。
• 通过筛选“零提交推送事件”（PushEvent Zero-Commit），快速定位被删除的提交。

4. 自动化构建
• 描述了如何通过自动化工具扫描 GH Archive 数据，提取“Oops Commits”，并使用 TruffleHog 扫描其中的秘密。
• 与 Truffle Security 合作开源了 Force Push Scanner 工具，支持组织或用户扫描自己的“Oops Commits”。
• 强调工具的道德使用，仅用于帮助团队评估潜在风险。

5. 寻找高影响力的秘密
• 扫描自 2020 年以来的数据，发现了数千个活跃的秘密。
• 通过手动搜索（过滤公司邮箱相关提交）、自定义工具（vibe-coded 平台用于分类和可视化）和 AI 辅助分析，筛选出高价值秘密。
• 数据显示：MongoDB 秘密泄露最多，但 GitHub PAT 和 AWS 凭据最具价值；.env 文件是泄露最频繁的文件类型。

6. 案例研究：阻止供应链攻击
• 发现了一个开发者泄露的 GitHub PAT，具有对 Istio 项目（一个开源服务网格，拥有 36k 星标）的管理员权限。
• 该权限可能导致大规模供应链攻击，如修改代码、创建发布或删除项目。
• 通过 Istio 的漏洞报告页面及时报告，团队迅速撤销了 PAT，阻止了潜在风险。

7. 总结与反思
• 项目成功发现了大量秘密，Sharon 通过漏洞赏金获得约 25,000 美元。
• 强调“删除提交并不安全”的观念，一旦秘密被提交，应视为已泄露并立即撤销。
• 开源工具和研究成果旨在帮助社区提高安全意识和防护能力。

author Sharon Brizinov

Trufflesecurity

Guest Post: How I Scanned all of GitHub’s “Oops Commits” for Leaked Secrets ◆ Truffle Security Co.

GitHub Archive logs every public commit, even the ones developers try to delete. Force pushes often cover up mistakes like leaked credentials by rewriting Git history. GitHub keeps these dangling commits, from what we can tell, forever. In the archive, they…

#优质博文 #tools #工具推荐
1. Canva 如何建立图像搜索（英文） #搜索 #图像
本文介绍 Canva 公司如何使用向量嵌入，建立相似图片搜索。
下面是另外一篇类似的文章《基于 pgvector 和 Next.js 构建语义电影搜索》，也是使用向量嵌入。

2. 同一个 GitHub 用户如何用不同身份 SSH 登录（英文） #github #ssh
有时，同一个 GitHub 用户使用不同的 SSH 密钥，去登录不同的仓库。本文教你这时怎么写 SSH 配置文件。

3. Lightpanda #无头浏览器 #tools
轻量级的无头浏览器，可以接入 Playwright / Puppeteer，占用资源和执行速度号称是 Chrome 的十分之一。

4. changedetection.io
一个开源的服务，用来检测指定网页的某个部分是否发生变化。比如，网页上面的商品价格发生变化，它就会通知你。 【好多这种服务了 但是mark一下】

5. Voice-Pro #AI #语音
AI 语音工具，具有多种功能（语音识别、翻译、语音克隆、文本转语音），属于 Whisper 模型的 Web UI。

6. Hacker News Wrapped #趣站
该网站可以输入一个 Hacker News 论坛的用户名，它会用 DeepSeek 模型总结该用户的特点，描述非常准确而且传神。

7. GenSFX #AI #音效
免费的 AI 音效生成网站。

8. Beej 的 Git 指南（Beej's Guide to Git）
著名教程作者 Beej 的最新 Git 教程，基于他向大学学生的课堂讲义。

via #阮一峰的科技周刊 336

canva.dev

Image replacement in Canva designs using reverse image search - Canva Engineering Blog

Qualitative comparison of image embedding models to power a scalable similar-image replacement system for Canva designs.

面条实验室

Photo

#碎碎念 #github
跟风晒晒
陈年老摆子了，唉，羡慕大佬们的精力充沛

#App #GitHub

🧠 基于 Obsidian 打造的人生管理系统 —— LifeOS

🔍 最近发现一个非常有意思的项目，是基于 Obsidian 来打造的一个本地项目。致力于让用户可以通过 Obsidian 打造一个全方位的个人生产力系统。无论是生活，还是工作，都可以在这个 Obsidian 系统中得到有效的记录和管理。

📓 Obsidian 是一款私密且灵活的笔记应用程序，它提供免费、多拓扑关系的笔记呈现方式，并支持使用各种插件和模版，有点类似于一个致力于笔记领域的 VSCode。而 LifeOS 项目说白了就是一个 Obsidian 的模版，能够让你方便使用。

🤔 如果你是 Obsidian 的使用者，你可以直接下载 LifeOS 项目的下载示例仓库到本地，无需繁复配置，即可立马上手，配合无压笔记等一系列使用的组合完成对生活的及时记录，对任务和目标的充分复盘，以及利用 CODE 模型 + PARA 组织法，组建你的第二大脑。

💻 你可以前往 LifeOS 的 官网 来查看更详细的项目介绍和功能说明。

在大学期间非常值得阅读的一些文字，来自 @DBinKBB 的推荐。

https://survivesjtu.gitbook.io/survivesjtumanual/

摘录：

各位同学们，在本书的开始，我不得不遗憾地告诉大家一个消息。国内绝大部分大学的本科教学，不是濒临崩溃，而是早已崩溃。

我们的体制总倾向于用一个量化的分数来概括衡量一个人。
......
如果一个人把政策评分作为自己的至高追求，那么他就是这个政策的牺牲品。
......
请务必牢记：大学四年留给你的是你的人生，在你毕业之时，那一串苍白的分数其实就已经作废了。

#大学 #文字 #github #学习 #思考 #知识

#优质博文 #github
用 GitHub Action 进行自我更新，包括最近 release 信息、博文等：为 GitHub 构建自更新配置文件 README
学到了，这就去搞一个，嘤嘤嘤我没有拖更

GitHub 这是准备干死笔记软件？

https://blocks.githubnext.com/

🗒 标签: #GitHub
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

#github #css
看了看周刊，这个配色主题mark一下。
catppuccin，特点是色彩柔和缤纷，不太亮不太暗，对于各种主要的应用软件都进行了适配。

GitHub

GitHub - catppuccin/catppuccin: 😸 Soothing pastel theme for the high-spirited!

😸 Soothing pastel theme for the high-spirited! Contribute to catppuccin/catppuccin development by creating an account on GitHub.