新开源工具Betterleaks旨在改进秘密扫描，提供灵活的验证和快速的扫描速度。创始人Zach Rice指出，AI助手的使用可能导致开发者忽视安全管理，增加凭证泄露风险。Betterleaks通过通用表达语言（CEL）和基于BPE的令牌效率扫描提升检测能力，兼容现有系统，支持未来功能，促进安全工具的开放发展。

Vercel 现已自动撤销意外提交到公共 GitHub 仓库的 API 凭证，以增强账户安全。用户在检测到凭证暴露后会收到通知，并可在仪表板中查看相关信息。此功能由 GitHub 秘密扫描支持，并更新了凭证格式以便识别。建议用户定期检查和更新凭证。

HashiCorp警告传统秘密扫描工具无法满足现代软件开发需求，呼吁采用预防优先策略，集成到开发工具和CI/CD管道中，以降低风险并提高响应速度。近年来多起凭证泄露事件凸显了传统工具的高误报率和检测延迟等局限性。HashiCorp建议引入实时检测和预提交扫描等新功能，以改善开发体验和加快响应。

Kingfisher是MongoDB开发的开源秘密扫描工具，旨在快速检测和验证代码库中的敏感信息。它通过动态验证减少误报，提升安全性，支持多种编程语言，适用于本地和云环境，帮助开发团队管理和保护敏感数据。

Kingfisher是MongoDB开发的开源秘密扫描工具，旨在检测和验证代码库中的敏感信息。它通过动态验证减少误报，提高安全性，支持多种云平台，帮助开发团队快速识别和管理暴露的秘密，增强软件供应链的安全性，促进合规性。

文章讨论了如何防止将API密钥等敏感信息推送到生产环境，建议使用Vite插件进行秘密扫描，并在Git提交前设置钩子以捕获潜在问题。强调处理假阳性和性能优化的重要性，并建议定期审计和维护代码安全。

本期《GitHub初学者系列》探讨了GitHub Copilot在提升代码安全性方面的作用。由于开发者普遍缺乏安全培训，Copilot能够帮助识别和修复代码漏洞。通过参数化查询和代码扫描等功能，开发者可以增强项目的安全性。此外，GitHub还提供Dependabot和秘密扫描等工具，以维护开源代码的安全。

2024年，GitHub泄露了超过3900万个秘密，导致频繁的安全事件。为防止泄露，GitHub推出了推送保护和秘密扫描等新安全工具，帮助开发者识别和管理秘密，并与云服务提供商合作，提高秘密检测的准确性，确保代码安全。

GitHub推出AI驱动的秘密扫描功能，显著提高了密码泄露检测的准确性。该方法通过分析潜在秘密的使用和位置，减少了无关警报。与微软合作，采用MetaReflection技术，结合多种检测策略，成功降低假阳性率，测试显示假阳性减少了94%。

2024年10月，GitHub推出了Copilot秘密扫描功能，利用AI检测代码中的通用密码。该功能通过上下文分析减少误报，提高安全性。开发团队克服了文件类型多样性和模型限制等挑战，经过多次测试和模型优化，成功提升了检测精度。目前，Copilot秘密扫描已覆盖35%的GitHub Secret Protection库，并持续改进以满足用户需求。

GitHub在2024年的前八周内发现了超过100万个泄露的秘密信息。为了解决这个问题，他们默认为所有对公共存储库的推送启用了秘密扫描推送保护。这个改变旨在保护用户的声誉、收入和法律风险。用户可以选择删除秘密信息或绕过阻止。推送保护可以被禁用，但建议保持启用并根据需要进行例外处理。对于私有存储库，GitHub企业计划用户可以添加GitHub高级安全功能。秘密扫描可以保护来自180多个服务提供商的200多种令牌类型和模式。

GitHub Advanced Security for Azure DevOps公开预览，提供与GitHub Advanced Security相同的安全功能，包括秘密扫描、依赖项扫描和CodeQL代码扫描。秘密扫描可以通过阻止包含秘密的Azure Repos推送来帮助防止新的漏洞。依赖项扫描识别代码中存在的开源软件包漏洞，而Code Scanning检测跨多种语言的代码安全漏洞。价格为每个活跃提交者每月49美元，计费通过Azure进行。这些功能将有助于保护DevOps基础设施、代码和生产环境。