文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

CircleCI 20230104 安全事件报告

由于目标员工有权生成生产访问令牌作为员工日常职责的一部分,因此未经授权的第三方能够从数据库和存储的子集访问和泄露数据,包括客户环境变量、令牌和密钥。...• 2023 年 1 月 6 日 05:00 UTC,我们撤销了在 2023 年 1 月 5 日 00:00 UTC 之前创建的所有个人 API 令牌。...我怎么知道我是否受到了影响? 我的数据有风险吗? 在此事件中,未经授权的行为者于 2022 年 12 月 22 日窃取了客户信息,其中包括第三方系统的环境变量、密钥和令牌。...2023 年 1 月 5 日之后进入系统的任何内容都可以被认为是安全的。 是否有未经授权的行为者使用该数据访问我的任何系统?...展望未来,为了支持更保守的立场并防止攻击者不当访问我们的系统,我们将优化现有工具的配置以创建额外的防御层。 我们的计划: 首先,我们将为所有客户启动定期自动 OAuth 令牌轮换。

1K20

使用账号密码来操作github? NO!

简介 最近在更新github文件的时候,突然说不让更新了,让我很是困惑,原因是在2021年8月13号之后,github已经不让直接使用账号名密码来登录了,必须使用personal access token...生成的token可随时撤销,并且令牌的随机性更高,不容易被暴力破解。 创建令牌 令牌,英文名叫做token,个人访问令牌英文简写为PAT。它是一种使用密码对 GitHub 进行身份验证的替代方法。...你可以将token看做是密码,不过这个token具有权限和有效时间的限制。同时为了安全起见,GitHub 会自动删除一年内未使用的个人访问令牌。...为了保证令牌的安全性,我们强烈建议为个人访问令牌添加过期时间。 要使用令牌首先需要创建令牌。怎么创建令牌呢?...首先登录github.com,在我的账号下方,选择settings: 然后在左侧边栏中,点击开发人员设置: 然后选择左边的个人访问令牌: 点击生成令牌按钮,就可以生成令牌了。

2.4K40
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Flask 博客接入第三方登录

    在上一篇文章中我留了一部分内容,就是如何给评论登录接入第三方登录。我不希望来访问我博客的用户有太大的登录成本,否则本想留下些话的人,就会被挡在这个门槛之外。...在我的博客项目中,我选用的是Authlib,它是国内的一名Python资深开发者@lepture开发的一款全面完善的OAuth认证库。...大家可能在别的教程里会看到用的是flask-oauthlib,它们的作者其实是同一人,而且在2019年的今天,我绝对会推荐你用Authlib而不是flask-oauthlib。...接入过程 Github的OAuth2接入是最简单的,很多教程都选择以Github为例,所以我这里选择用Google为例。 第一步,到Google API Console申请OAuth2凭据 ?...访问这个URI时会带上code的信息,一般地,这个URI的视图函数中应该做三件事情: 使用传入的code去Google交换访问令牌 存储访问令牌 使用访问令牌获取用户信息 完成了以后你就可以看到你的客户端

    2.4K40

    蔚来被勒索225万美元 马斯克称只要找到「傻子」接班就辞职 GitHub与微信合作…今日更多新鲜事在此

    马斯克:只要找到“傻子”接班,我就辞职 今天,马斯克在自己发起的民意调查下留言: 只要找到蠢到愿意接受这份工作的人,我就立马辞去CEO的职务!在那之后,我将只管理软件和服务器团队。...就在两周前,美国联邦贸易委员会(FTC)也以相同的理由提起反垄断诉讼,试图阻止微软收购动视暴雪的交易。...GitHub与微信达成合作,帮助保护用户隐私 据GitHub官方消息,GitHub与腾讯微信达成合作,通过扫描访问令牌,来帮助保护所有公共仓库和私有仓库的共同用户。...具体来说,GitHub密钥扫描会通过搜索存储库中的已知类型的密钥来保护用户。通过识别和标记这些密钥,有助于防止数据泄露和欺诈。...腾讯微信令牌则允许用户验证微信公众号和小程序开发者,获取业务应用的敏感信息,并可用于验证商家身份。 GitHub会将在公共仓库中找到的访问令牌转发给微信,微信将通知受影响的用户。

    46020

    1500+ HuggingFace API token暴露,使数百万 Meta-Llama、Bloom 等大模型用户面临风险

    LLM 技术本质上是对话式的、非结构化的和情境化的,这使得每个人都非常容易使用。今天,LLM技术对于努力保持竞争优势的企业来说是一种不可动摇的策略。...研究方法     在研究之初,我们使用搜索功能扫描了 GitHub 和 HuggingFace 存储库。...Meta-Llama、Bloom、Pythia 和 HuggingFace 存储库的完全访问权限     在这项开创性的研究中,我们的团队通过 HuggingFace 和 GitHub 发现了数量惊人的...其他发现     我们在研究这些漏洞时发现的另一个发现是,HuggingFace已经宣布org_api令牌已被弃用,甚至在他们的Python库中,他们也通过检查登录函数中的令牌类型来阻止使用它。    ...GitHub 也实施了类似的方法,当 OAuth 令牌、GitHub 应用程序令牌或个人访问令牌被推送到公共存储库或公共 gist 时,请求会被撤销。

    87210

    微服务实现 - Netflix技术栈

    今天我将讨论并解释如何实现基于微服务的系统。有很多用于实现微服务的工具和技术。我今天关注的是Netflix技术栈和SpringBoot。目前微服务是业内热门话题之一。...它与用户,角色,权限数据库表连接。我在这里使用了MongoDB。 商品服务服务负责商品存储,商品列表等库存处理的流程。 订单服务负责处理买家为商品安排的订单。然后卖方处理为其商品获得的订单。...系统的外部用户通过API网关访问我们的核心服务。在这里我们使用Netflix Zuul API网关。我们可以使用Zuul作为代理和请求过滤器。我将通过查看配置来解释更多细节。...并且您可以根据您的要求更改密码和到期时间。在这种情况下,web-app将生成的auth令牌存储在浏览器存储中。...好吧,现在我们来到了讨论的最后。我认为你对微服务架构的实现有相当的了解。我希望这将有助于您未来的项目。这是GitHub源代码项目,请按照我在README中给出的说明运行该项目。

    1.1K10

    松哥手把手教你用 FastDFS 构建分布式文件管理系统

    但是互联网应用访问量大、数据量大,在互联网应用中,我们必须考虑解决文件大容量存储和高性能访问的问题,而 FastDFS 就特别适合干这件事情,常见的图片存储、视频存储、文档存储等等我们都可以采用 FastDFS...图片上传我们一般使用 FastDFS,图片上传成功之后,接下来的图片访问我们一般采用 Nginx,所以这里的安装我将从三个方面来介绍: Tracker 安装 Storage 安装 Nginx 安装 2.1...Storage 安装也需要 libevent 和 libfastcommon,这两个库的安装参考上文,这里我不在细说。...4.安全问题 现在,任何人都可以访问我们服务器上传文件,这肯定是不行的,这个问题好解决,加一个上传时候的令牌即可。 首先我们在服务端开启令牌校验: vi /etc/fdfs/http.conf ?...「此时访问路径里边如果没有令牌,会访问失败。」 好了,大功告成!下次和大家讲我如何在 Spring Boot 中玩这个东西。

    1.2K20

    再聊 FastDFS,顺便说说 OBS 服务

    但是互联网应用访问量大、数据量大,在互联网应用中,我们必须考虑解决文件大容量存储和高性能访问的问题,而 FastDFS 就特别适合干这件事情,常见的图片存储、视频存储、文档存储等等我们都可以采用 FastDFS...图片上传我们一般使用 FastDFS,图片上传成功之后,接下来的图片访问我们一般采用 Nginx,所以这里的安装我将从三个方面来介绍: Tracker 安装 Storage 安装 Nginx 安装 3.1...Storage 安装也需要 libevent 和 libfastcommon,这两个库的安装参考上文,这里我不在细说。...5.安全问题 现在,任何人都可以访问我们服务器上传文件,这肯定是不行的,这个问题好解决,加一个上传时候的令牌即可。 首先我们在服务端开启令牌校验: vi /etc/fdfs/http.conf ?...此时访问路径里边如果没有令牌,会访问失败。

    2.4K30

    面试系列-3 限流场景实践

    1 前言 大家好,我是阿沐!你的收获便是我的喜欢,你的点赞便是对我的认可。 今天呢,我们就不聊redis面试系列,我们一起来聊一聊限流操作以及使用场景。...很奇怪哈,为啥突然转变画风了,之前一篇文章中提到 redis的限流操作,并没有实际给小伙伴们演示以及场景的使用演练。所以呢,既然有人私聊问我了,那么今天我们来聊一聊这个。...比如之前我做电商,千万级别的用户瞬间秒杀下单,大量的写库操作是我们无法控制的,db的吞吐量是有瓶颈的。所以服务引入限流操作,就会大大降低服务的崩溃问题。...面试者:① 优点:访问量限流实现简单,适用于绝大多数的场景。同时qps/min的值我们可以用个服务端动态来配置,只需要大概估算qps的数值即可。...知道有这么一回事,虽然用的不多,不过还是要考察你对这方便的知识点的(内心在波动,现在一年经验的小伙子都知道这么多了)。那么可以在说说你在项目中是否用到了令牌桶算法呢?

    88710

    登录机制五兄弟,关系乱到我怀疑人生!

    前言作为一个程序员,每天都在和各种登录机制打交道,但你真的搞清楚Token、Session、Cookie、JWT、OAuth2这五兄弟的关系了吗?今天我们用一个有趣的故事来彻底理清这些概念!...但是问题来了:如何确保每个人的身份安全,防止坏人冒充呢?于是,国王召集了五位身份验证专家,他们就是我们今天的主角:Cookie老爷爷、Session大哥、Token二哥、JWT三弟、OAuth2小妹。...看我的自证清白术:我的令牌自带签名,服务器不用存储任何信息,只要验证签名就知道令牌是否有效!"...但现在用户不想记住那么多账号密码,他们希望用微信、QQ、GitHub账号登录其他网站。我的第三方授权系统就是为了解决这个问题!"...);});//GitHub回调处理app.get('/auth/github/callback',async(req,res)=>{const{code}=req.query;try{//用授权码换取访问令牌

    28810

    【事故】记一次意外把公司项目放到GitHub并被fork,如何使用DMCA下架政策保障隐私

    前言缘由在一个月黑风高的夜晚,正准备休息的我突然接到之前外包老总的亲切问候。一顿输出才知道三年前为了搭建流程化部署,将公司的测试代码放到github上后忘记删除。...如果想删除库中单个文件审核比较轻松,若是想删除整个库可能难度较大。所需材料如下:可访问您组织的服务器、网络或域的访问凭据,例如用户名与密码组合、访问令牌或其他敏感密钥。...可代表您访问第三方的 AWS 令牌和其他类似访问凭据。 您必须能够证明该令牌确实属于您。对组织构成特定安全风险的文档(例如网络图或架构)。...翻译:您的请求与完整存储库或特定文件相关吗?此处根据个人情况选择,若要删除整个库可能审核费劲,若选择删除单独文件则比较好通过。...其他人可以通过application-prod.yml文件中的信息破解我的服务器和数据库信息,涉及个人隐私,存在安全隐患。以下存储库的所有内容已被删除。

    64410

    听说你 FastDFS 老安装失败,这能忍?松哥一定要帮你搞定!

    但是互联网应用访问量大、数据量大,在互联网应用中,我们必须考虑解决文件大容量存储和高性能访问的问题,而 FastDFS 就特别适合干这件事情,常见的图片存储、视频存储、文档存储等等我们都可以采用 FastDFS...图片上传我们一般使用 FastDFS,图片上传成功之后,接下来的图片访问我们一般采用 Nginx,所以这里的安装我将从三个方面来介绍: Tracker 安装 Storage 安装 Nginx 安装 2.1...Storage 安装也需要 libevent 和 libfastcommon,这两个库的安装参考上文,这里我不在细说。...4.安全问题 现在,任何人都可以访问我们服务器上传文件,这肯定是不行的,这个问题好解决,加一个上传时候的令牌即可。 首先我们在服务端开启令牌校验: vi /etc/fdfs/http.conf ?...「此时访问路径里边如果没有令牌,会访问失败。」 好了,大功告成!下次和大家讲我如何在 Spring Boot 中玩这个东西。

    1.3K10

    良心教程 | 如何在Typora中设置免费的图床

    ❞ 「秀技能」 ❝今天同事发给我一个md文件,一如往昔,图片没有显示出来,我说又到了我安利给你图床的时候了,「免费」,「快速」,「粘贴后自动上传」,这三点不香吗。哈哈,秀了一把。。。...注册gitee gitee https://gitee.com ❝gitee,码云,类似github,但是是国内的,速度非常快。...另外,默认安装nodejs,不要点击安装依赖,否则安装vscode等等软件,别问我为什么,因为我安装了一上午(说多了都是泪)…… ❞ nodejs https://nodejs.org/en/ 然后安装插件...设置gitee的一个项目 ❝飞哥注:建立仓库,主要是用于存储图片,你的用户名和项目名,后面会有用到,尽量用拼音或英文,不要用中文。 ❞ ? image-20201221111554427 4....设置私人密钥 「点击私人令牌」,然后点击「生成新令牌」 ? 「点击提交」 ? image-20201217182047389 登录个人密码,勾选一下,然后点击复制: ?

    7.6K10

    自我复制蠕虫袭击180余个软件包,供应链安全再响警钟

    这款新型恶意软件被命名为“Shai-Hulud”——源自弗兰克·赫伯特《沙丘》小说系列中的巨型沙虫名称——因为它会在新的公开GitHub代码库中发布所有窃取的凭证,且代码库名称包含“Shai-Hulud...如果找到,它将修改该npm令牌有权访问的20个最流行软件包,将自身复制到包中并发布新版本。”...上个月对nx的攻击没有像蠕虫那样自我传播,但这款Shai-Hulud恶意软件确实可以自我传播,并捆绑了侦察工具以协助其传播。即,它使用开源工具TruffleHog搜索开发者机器上暴露的凭证和访问令牌。...然后它尝试创建新的GitHub操作并发布任何窃取的密钥。“一旦第一个人被感染,就无法阻止它,”Aikido的Eriksen告诉KrebsOnSecurity。...Weaver表示,NPM(及所有其他类似软件包存储库)需要立即切换到一种发布模型,该模型要求使用防网络钓鱼的双因素认证方法对每个发布请求进行明确的人工同意。

    23010

    关于 Node.js 的认证方面的教程(很可能)是有误的

    我发现这个来自 RisingStack 的一个叫“Node Hero”系列的快速教程,但从这个教程中我没找到很有用的帮助。他们也在 GitHub 上提供了一个示例应用程序, 但它与官方的问题相同。...在数据库中存储未加密的密码重置令牌意味着如果数据库遭到入侵,那些令牌就是明文密码。使用加密安全的随机数生成器生成长令牌会阻止对重置令牌的远程强力攻击,但不会阻止本地攻击。...但是,如果攻击者通过 BSON 注入对数据库中的用户对象进行读取访问,或由于配置错误,可以自由访问 Mongo,这些令牌将非常危险了。...我不能评价这些模块的安全性,甚至没有看过它们;无论你的负载平衡用的是什么,通常我推荐在生产中运行逆向代理,并允许由 nginx 限制请求处理速率。...如果你有前端的背景,不知道其他的编程语言,我个人认为,使用 Ruby 是一个不错的选择,毕竟站在巨人的肩膀上比从头开始学习这些类型的东西要容易。 如果你是教程作者,请更新你的教程,特别是样板代码。

    6.3K90

    Gitee+PicList,永久免费的解决方案

    个人主页:Vect个人主页 GitHub:Vect的代码仓库 个人专栏: 《数据结构与算法》《C++学习之旅》《Linux》 ⛺️Per aspera ad astra...今天分享一个 永久免费、国内访问快的解决方案:用Gitee(码云)做图床存储,搭配PicList工具实现一键上传,从此再也不用担心图片挂掉。 一、先搞懂:为什么选Gitee+PicList?...在开始操作前,先明确这个组合的核心优势,避免你走弯路: Gitee优势:国内大厂服务稳定,免费账户提供1GB仓库空间(足够存上万张博客图片),国内访问速度远超GitHub,支持公开访问链接 PicList...令牌是PicList操作Gitee仓库的“钥匙”,仅显示一次,务必保存好: 点击右上角头像,选择“设置” 左侧菜单找到“私人令牌”,点击“生成新令牌” 填写令牌信息、选择过期时间(我选的永不过期)、权限选择...例如:https://gitee.com/jlasdjalsjd/pic path: 分支,我默认根目录/,大家也可以自建目录存储 token: 把自己保存的令牌粘贴即可 到此,设置完成

    46410

    Guava RateLimiter详解以及源码分析

    我个人觉得,Sentinel是个限流组件,它功能更加丰富,可以提供分布式环境下的限流方案。并且Sentinel还具有丰富的可视化管理工具,支持灵活的配置。...} } } 运行的结果, 我被访问了,访问我的是:pool-1-thread-1 我被限制访问了,我是:pool-1-thread-2 我被限制访问了,我是:pool-1-thread-4 我被限制访问了...,我是:pool-1-thread-3 我被限制访问了,我是:pool-1-thread-8 我被限制访问了,我是:pool-1-thread-6 我被限制访问了,我是:pool-1-thread-5...我被限制访问了,我是:pool-1-thread-9 我被访问了,访问我的是:pool-1-thread-10 我被限制访问了,我是:pool-1-thread-7 除了上面使用的tryAcquire...freshPermits = requiredPermits - storedPermitsToSpend; /* 突发流量的情况,突然涌入大量请求,而现有令牌数又不够用,因此会预先支付一定的令牌数

    1.3K30

    10万 npm 用户账号信息被窃、日志中保存明文密码,GitHub安全问题何时休?

    该行为被发现后,GitHub、Travis CI 和 Heroku 撤销了所有 OAuth 令牌,以阻止进一步的黑客攻击。...具体内容包括“npm 访问令牌和少量用于尝试登录 npm 账户的明文密码,以及一些发送到 npm 服务的 GitHub 个人访问令牌。” 不过,只有 GitHub 员工可以访问这些信息。...根据北卡罗来纳州立大学的研究,通过对超过 100 万个 GitHub 帐户为期六个月的连续扫描,发现包含用户名、密码、API 令牌、数据库快照、加密密钥和配置文件的文本字符串可通过 GitHub 公开访问...当然,肯定需要从存储库中删除敏感数据。但 GitHub 非常擅长保留所有提交的完整历史记录,包括敏感信息的变更日志。有关详细信息,可以参阅“从存储库的历史记录中清除文件”。...及时更换 SSH key 和个人访问 token GitHub 访问通常使用 SSH 密钥或个人用户令牌 (代替密码,因为已启用了双因素身份认证) ,开发者可以定期更新密钥和 token,来降低密钥泄露造成的任何损失

    2.5K20

    OAuth2.0理解和用法

    没看之前以为OAuth2.0是登录认证授权的东西,自己的项目里应该是需要的。实际上OAuth是为了第三方应用访问我们资源用的,大多数开发者基本不会用到这个东西。...也就是授权别人(client)访问我们的资源。...在使用阿里云的时候,我们可以给自己的账号开子账号,给子账号一些权限访问哪些服务(授权太复杂了),这样我们就可以达到最初的目的了: 让别人安全的访问我们的资源。...access token就是访问资源的凭证,令牌。它的安全很重要。...为了防止泄露被窃取,通常是client后端服务用token获取资源,是存储在client后台服务的,比如redis,mysql中,和用户关联存储。在浏览器上是体现不出的。

    1.7K30

    外甥女问我 计算机是如何组成的?

    本文已经收录至我的GitHub,欢迎大家踊跃star 和 issues。...https://github.com/midou-tech/articles 继上一篇外甥问我计算机问题之后,外甥女就显得格外勤奋了,竟然也对计算机感兴趣了 生活中有一类人特别让人害怕,就是突然 对某件事非常感兴趣...也不知道是真的感兴趣了,还是觉得我对他弟偏心了,哈哈 不管咋说,这姐弟俩是非常优秀的,碾压我姐弟俩一大截,是真的后浪 上次发文章之后,外甥女晚上发消息问我 计算机是如何组成的?...哈佛结构把程序和数据进行了分离,分别独立为程序存储器和数据存储器,程序存储器和数据存储器采用不同的总线 两个存储器采用不同的总线意味着可以同时读取两个存储器的内容,这点大大提高了程序运行时的访存效率 冯...所以指令的执行是串行,影响了系统执行的速度。 存储器是按地址访问的线性编址,按顺序排列的地址访问,利于存储和执行的机器语言指令,适用于作数值计算。

    68230
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券