近期开源安全面临攻击，主要针对秘密泄露。GitHub采取防范措施，增强安全能力。过去一年，开源漏洞趋势显示恶意软件警告激增，审查建议降至四年低点。GitHub还通过AI驱动的检测扩展应用安全，利用CodeQL识别多种语言和框架中的漏洞。

在现代DevOps项目中，安全管理.env文件至关重要。最佳实践包括：不将.env文件提交到Git，使用.env.example提供结构，避免在CI/CD中传递秘密，必要时加密.env文件，限制访问权限，并在容器化环境中使用环境变量。这些措施能有效防止秘密泄露。

2024年，GitHub泄露了超过3900万个秘密，导致频繁的安全事件。为防止泄露，GitHub推出了推送保护和秘密扫描等新安全工具，帮助开发者识别和管理秘密，并与云服务提供商合作，提高秘密检测的准确性，确保代码安全。