主要观点：安全研究员 Sharon Brizinov 与 Truffle Security 合作对 GitHub 的“oops commits”进行调查，发现大量遗留秘密，包括高价值令牌和管理员级别的凭据，并发布开源工具帮助扫描自身仓库。
关键信息：

• GitHub 保留所有公共提交，即使开发者通过强制推送删除，仍在存档中。
• 扫描 2020 年以来的 dangling 提交发现约 25000 美元的漏洞赏金奖励相关秘密。
• Truffle Security 和 Brizinov 共同开发了 Force Push Scanner 开源工具。
• 发现大量活跃秘密，如 MongoDB 凭证和 API 令牌等，其中一个有管理员权限的 GitHub PAT 引发供应链风险。
• 社区反应强调删除的提交仍可能被访问，挑战了强制推送的 Git 历史是私有的观念。
  重要细节：
• 团队通过扫描 GitHub Archive 数据发现秘密，工具使用 BigQuery 和 TruffleHog 扫描。
• 开发者应优先使用秘密管理工具和环境变量，如 HashiCorp Vault、AWS Secrets Manager 或 Azure Key Vault 等。
• 配合本地预提交钩子和 CI/CD 管道的秘密扫描工具很关键，如 TruffleHog、Gitleaks 或 Detect Secrets。
• 暴露秘密应立即撤销和轮换凭证，结合严格访问控制和 GitHub 推送保护等措施。
• 创建安全文化，培训团队识别风险和采用安全处理实践，结合技术保障和文化变革降低秘密暴露风险。