武汉马拉松报道肯尼亚选手打破赛会纪录喜提10000美金

早七点三十2019武汉马拉松正式开赛,“汉马”作为中国马拉松大满贯成员之一,国内外的众多精英高手再次齐聚“汉马”,此次的赛事可谓是亮点颇多。

武汉马拉松是董国建自徐州马拉松之后参加的四月份第二场全马赛事,这次的汉马董国建以两小时十二分三十三秒完成比赛,居于国内第一,国际第四的成绩,这样的一个成绩是继徐州马拉松跑出的2小时12分09秒第二个好成绩,这也可以看出董国建目前的竞技状态极佳。

首先支持最新Android 9.0版本,为用户带来更好的使用体验;全新面部识别方案,用户可以在设置中录入面部信息;由于Android版本的升级,微信指纹支付功能需要进入指纹支付重新关闭打开即可正常使用;全新ZUI 10设计风格,新增4D U-Touch手势,神器输入框,小窗播视频等功能。

男子国际全程前三名成绩

肯尼亚特邀选手KIMTA以2:10:05的成绩打破武汉马拉松赛会纪录,获得一万元美元冠军奖金的同时,还获得破赛会纪录的一万美元奖金。男子全程马拉松赛此前会纪录为2小时11分15秒。

本文为CSDN翻译,转载请注明来源出处。

GitHub的测试版中有一个扫描token的功能,该功能可以从一组有限的提供者中查找token,并在密钥提交到公共代码仓库时通知提供者(不是你)。

至少有两个非常好的信息来源可以用来检测密钥:GitHub Search API以及Google BigQuery维护的GitHub公共数据集。检测过程的第一步是通过精心设计的一组搜索词,查询可能包含密钥的候选文件:

在我看来,避免密钥提交的最佳时机在提交之前。而在Git的pre-commit钩子中使用这篇论文附录中介绍的正则表达式就是个非常好的办法。TruffleHog(https://github.com/dxa4481/truffleHog)就采用了pre-commit钩子的方法,但是在该论文撰写的时候,TruffleHog的密钥检测机制(仅能检测到25-29%)明显低于这篇论文的成果(§VII.D节)。你还可以看一下为防止AWS密钥提交而开发的git-secrets(https://github.com/awslabs/git-secrets),你可以在这个工具的基础上自行用其他正则表达式进行扩展。为了做到万无一失,你还可以考虑与GitHub集成,在密钥被泄漏时提醒你,这样你就可以及时废除密钥了。

李芷萱以2小时30分39秒的好成绩获得国内女子冠军,这是她本月的第三场全马赛事,成绩也是十分的稳定。希望在之后的国际性赛事上可以取得一个非常良好的成绩!

女子国际全程前三名成绩

熵过滤器,可以过滤掉熵非常低的密钥。单词过滤器,可以过滤掉包含长度不小于5的常用单词的密钥。模式过滤器,可以过滤掉重复字符(例如’AAAA’),升序字符(’ABCD’)和降序字符(’DBCA’)。至少这些过滤器表明,正则表达式检测到的密钥中只有一小部分是虚假密钥。与正则表达式相匹配的字符串中99.29%通过了过滤器。如果你的工作中也需要实现这样的过滤器,那么可以使用“所有虚假的密钥中都包含EXAMPLE之类的单词”这种更为简单的实现。

“我们发现找到密钥的时长为半秒到4分钟,中位数为20秒,而且没有明显的时段影响。重要的是,这项实验表明我们的搜索API方法几乎可以立即发现密钥,也就是说几乎可以实时地发现密钥。”

使用GitHub API可以很容易地实时检测到密钥的泄漏,即使在实现中仅使用一个API key,并采用默认的速率限制,也能达到很好的效果。这篇论文中介绍的方法实现了99%的目标文件覆盖率。即使我们都心怀善意,但还是有很多密钥被泄漏(每天被泄漏的密钥中位数为1793个)。通过论文中介绍的搜索方法,找到泄露到GitHub上的密钥的时长为半秒到4分钟以上,中位数为20秒。也就是说,一眨眼的功夫就能找到,等你发觉自己不小心提交了密钥时就已经晚了。泄露的密钥中看似非常敏感的密钥占了很高的比例(89%),也就是说这些都不是用于测试的密钥。使用多元认证方式(例如Google OAuth ID)的情况下,如果其中一个密钥key被泄漏时,另一个也会被泄漏的概率高达80%。许多泄漏的密钥都会在GitHub代码仓库中保存很长一段时间(16天后仍有81%还在)。即使重写历史记录也无法在密钥泄露后隐藏密钥。(你需要立即废除密钥,这很显然,对吧?)如果没有保护措施,人类就很容易犯错。(也就是说,如果你的流程不完善,请不要责怪开发人员!)。

“很明显,实时监控代码提交的人可以马上发现泄漏的密钥,即使泄漏的密钥被简单地删除也能被捕获到。然而根据我们的发现,即使重写提交历史记录,密钥也仍然可以被恢复……我们发现只需要使用commit的SHA-1 ID就可以从GitHub中恢复已删除提交的全部内容。”

如何检测GitHub中的密钥

随着我们国家马拉松体系的不断完善,不断注入新鲜血液,总体成绩不断提高,让我们对未来马拉松的成绩充满期待。在不久的将来,我相信,在国际赛场上我们国家的马拉松将会有一席之地!加油!

Google在许可下维护着公共GitHub代码仓库的BigQuery数据集。论文作者的这个数据集是于2018年4月4日查询到的,当时扫描了330万个代码仓库中的23亿个文件,总共发现了73,799个唯一的密钥字符串。

“……我们不仅注意到了泄漏发生的情况,而且还对泄漏进行了保守的纵向分析,以及对其根本原因的分析和当前缓解措施的局限性。”

作者团队提出的每一种密钥类型中都找到了泄露的密钥!下表只给出了一部分,而最常见的泄露密钥是针对Google API的密钥。

在去年的武汉马拉松中,管油胜跑出了2小时16分08秒的成绩,而在今年的汉马中跑出了2小时17分39秒左右的成绩,居于国内第二。

贾俄仁加跑出2小时18分22秒的成绩,获得国内第三。继无锡半马、重庆全程马拉松创造PB之后的第三站马拉松中能取得这样的一个好成绩实属不易,当之无愧的中国马拉松历史上业余选手最能跑的!而从这样的成绩说明,近几年我们国家的马拉松成绩整体水平也是在飞速的提升。

我认为所有密钥类型的泄漏概率应该都差不多,因此上述表格表明GitHub代码仓库中不同API的流行程度。

“这项工作表明公共代码仓库平台上的密钥泄漏问题非常严重,这个问题尚未得到解决,开发人员和服务都置身于泄漏和滥用的风险之中。”

GitHub Search API搜索了从2017年10月31日到2018年4月20日的所有文件。在此期间收集了440万候选文件,并从30.7万文件中找到了40万个密钥。这项搜索每天发现新密钥的中位数为1793个。

下面来简要介绍一下这篇论文的主要内容:

拿到一组候选文件后,接下来你需要的是一组流行密钥格式的正则表达式。论文的作者研究了很多流行系统和服务的关键结构,并发现了下图所示的结果。事实证明,论文附录中提供的下列正则表达式在寻找密钥时非常准确。例如:

作者团队发现了哪些类型的密钥?

通过Events API可以很容易地恢复提交的哈希值。这个API的历史数据也可通过GitTorrent项目获得。

在其他方面,新增U健康相机识别卡路里功能,全新负一屏卡片式展现,支持计步/上下班建议/快速支付等;全新桌面编辑态,支持更多桌面布局,桌面长按即可查看相关内容;全新控制中心与通知栏融为一体,并支持桌面上滑调出全局搜索。更多更新信息请以官方公告为准。

在另一项测试中,论文的作者故意将“密钥”push到了某个已知的代码库中,并持续查询API,直到该字符串出现。该实验以每分钟一次的频率进行了24小时。

GitHub Search API具有速率限制。但是只需要使用一个API key,那么每隔30分钟就可以运行完所有用来查找候选文件的查询。论文的作者发现,这个频率足以发现99%可能包含密钥的文件,而且没有速率限制。

“我们的数据显示,即使是由经验丰富的开发人员负责的重要密钥也有可能泄漏。举个例子,美国数百万学生申请大学时使用的一个主要网站采用了AWS认证,然而我们发现该认证使用的密钥可能被一个工作人员泄漏了。我们还发现西欧国家的主要政府机构的网站也采用了AWS认证……”

该数据集使用了如下三个有效性的过滤器来过滤掉假阳性:

然后,你可以使用这些正则表达式扫描上述第一阶段获得的候选文件,所有的匹配都可能是“候选密钥”。然后,通过一组过滤器筛查这些候选密钥。例如,密钥模式“AKIAXXXEXAMPLEKEYXXX”很可能是在测试时使用的,该密钥将在这个阶段被过滤掉。顺利通过这些过滤器的密钥集即是真正遭到泄漏的密钥。论文的作者手动验证了一个随机的密钥集合样本,这个过程发现的密钥中估计有89.1%确实属于敏感信息。

“这一结果表明,一个用户在GitHub的API速率限制内,完全可以合法地运行敏感搜索查询,从而几近完美地找到所有提交到GitHub上的文件。当然,有强烈动机的攻击者可以获取多个API key,并实现全面的覆盖。”

RELATED POST

西双版纳高海拔地区发生霜冻普洱茶界对明春茶产量影响不大

中新网昆明12月11日电 (记者 胡远航…

对于网络诈骗我们应该怎么防范

对于现在生活中的骗子,我们可以说有时恨得…

韩在野党议员联名上书检方要求中止朴槿惠刑期执行

中新网4月24日电 据韩国《亚洲日报》2…

外交部就斯里兰卡首都等地系列爆炸事件等问题答问

问:据报道,美国伊利诺伊州北奈尔斯高中学…