GitHub是目前流行的开源代码库以及版本控制系统，它给开发者带来方便的同时，也带来一系列安全隐患。开发者使用公开的托管代码库，可能导致源代码泄露，从而暴露一些敏感信息，如数据库连接配置文件的账号密码、AccessKey信息、邮箱账号密码等。

企业高危敏感信息泄露

企业或个人用户在使用GitHub、码云等国内外代码托管平台时，其托管的源代码中已被发现/可能存在以下敏感信息：阿里云账号AccessKey、RDS账号密码、ECS自建数据库或邮箱的账号密码等。上述账号密码信息在被他人获取后，可以被直接用来访问用户的阿里云资源和数据资源，导致企业或个人敏感信息泄露。

此外，用户通过ECS自己搭建部署了数据库服务，而开发人员可能在数据库连接配置文件里面写入数据库连接密码、邮箱密码等高危敏感信息。如果黑客通过GitHub获取泄露的账号密码，并成功通过认证，则可以轻易获取企业数据，给企业带来极大的安全风险。

解决方案

（推荐）使用私有的Github代码托管来管理代码，或搭建企业内部的代码托管系统，防止源代码泄露和敏感信息泄露。

如果发现阿里云AccessKey等高危敏感信息泄露，应立即登录控制台，禁用并重置 AccessKey（或直接删除）；同时尽快删除GitHub托管代码。

定期前往日志检索平台，搜索对应的服务器访问日志，检查数据是否泄漏。例如，检索日志源Web访问日志，选择URI字段，检查包含有AccessKey应用文件的文件路径等。

建立企业内部的安全运维规范和开发红线，培训内部IT人员，提高其安全意识，防止信息泄露。

更多信息，请参考阿里云 AccessKey。

阿里云代理商 阿里云服务器