Hub 文档

秘密扫描

Hugging Face's logo
加入 Hugging Face 社区

并获得增强的文档体验

开始使用

凭证扫描

正确管理您的凭证(环境变量)非常重要。人们向外界泄露凭证最常见的方式是在代码文件中直接硬编码凭证,这使得恶意用户有可能利用您的凭证以及凭证所能访问的服务。

例如,下面是一个被泄露的 app.py 文件可能的样子:

import numpy as np
import scipy as sp

api_key = "sw-xyz1234567891213"

def call_inference(prompt: str) -> str:
    result = call_api(prompt, api_key)
    return result

为了防止此问题,我们会在您的每次推送时运行 TruffleHog。TruffleHog 会扫描硬编码的凭证,一旦检测到,我们会向您发送电子邮件。

您只会收到有关已验证凭证的电子邮件,这些凭证是已经确认可以用于对应服务提供商认证的凭证。但请注意,未经验证的凭证不一定是无害或无效的:验证可能会因技术原因失败,例如网络错误。

TruffleHog 可以验证在多个服务中都有效的凭证,它不限于 Hugging Face 令牌。

您可以从您的设置中选择不接收这些电子邮件通知。

< > 在 GitHub 上更新