除了向所有人发送电子邮件并询问他们(并希望他们做出回应)之外,我如何获得我组织的哪些成员创建了个人访问令牌的列表?
我对此的直接使用是相当可悲的:Github 仅支持与用户绑定的写访问权限的 API 令牌。在过去的几年里,有些人使用他们的私人访问令牌创建了自动流程;这发生在早期的初创公司中。有时我们会遇到人们在次优条件下离开的问题,可以这么说,当然,当他们的凭据被吊销时,就会出现问题。
【问题讨论】:
标签: github github-api
我不相信 GitHub 提供此信息,因此您必须通过电子邮件询问。
但是,由于 GitHub 不推荐使用 Git 的密码身份验证,几乎每个用户都会有一个 PAT。甚至在此之前,每个使用 HTTPS 的 2FA 都需要它们,并且由于许多组织都需要 2FA,这实际上意味着每个人都会拥有它们,除非他们专门使用 SSH。所以这个问题的答案并没有真正告诉你任何与你的预期目标相关的事情,因为可能的答案是“每个人”。
在这种情况下,我要做的是创建一个机器人或机器帐户,其自己的电子邮件地址与您公司的域相关联,然后使用该帐户单独轮换令牌。如果您需要跟踪哪些已轮换,哪些未轮换,请使用 SHA-256 对您使用机器帐户发布的那些进行哈希处理并将它们存储在一个列表中。如果散列标记在列表中,则它已被轮换;否则,它没有。
【讨论】: