太长不看版


GitHub Archive会记录每一次公开提交，哪怕是开发者试图删除的那些。 
强制推送（Force pushes）通常被用来通过重写 Git 历史以掩盖凭证泄露等错误。 
据我们观察，GitHub 会永久保留这些悬空提交（dangling commits）。 
在归档日志中，它们显示为“零提交”的推送事件（PushEvents）。
我扫描了自 2020 年以来的所有零提交强制推送事件，挖掘出了价值 2.5 万美元漏洞赏金的泄露密钥。
我们与 Truffle Security 合作开源了一个新工具，用于扫描你自己的 GitHub 组织中是否存在这些隐藏的提交（点此试用）。


[图片]
新的开源 Force Push Scanner 工具可以识别悬空提交中的密钥。 
这就客座文章由白帽黑客 Sharon Brizinov 撰写，也是通过 Truffle Securi...