2026 年 5 月 26 日：GitHub 近期检测到一起网络攻击，并立即启动响应流程，以开展调查、阻断恶意活动、缓解攻击，并阻止威胁行为者进一步访问。需要注意的是，本次调查仍在进行中，我们将视情况继续提供相关细节。

鉴于威胁行为者的现实存在以及 AI 技术的到来，我们需要尽一切努力保护客户。考虑到遭到攻击的代码库，并出于高度谨慎，我们正在轮换密钥，包括 GitHub Enterprise Server 签名密钥。该密钥用于为 GitHub Enterprise Server 的二进制文件签名，以便在手动发起的更新过程中验证 GitHub 为来源。GitHub 托管的所有二进制文件均有效。

GitHub Enterprise Server 客户需要按以下说明立即采取行动。GitHub Enterprise Cloud 无需采取任何行动。

客户需要做什么

GitHub Enterprise Server 管理员需要在其实例中轮换 GPG 公钥。管理员可以按照这些说明，使用 GitHub 开发的脚本来简化这一流程。如果你希望独立验证该脚本的完整性，其 SHA256 摘要为：

3009bf5cdef034e153008cc375a05ac0bdbb1a2a325b22adb300c028e3766b43

对于单节点拓扑，请运行以下命令：

$ curl -fsSL https://enterprise.github.com/security/2026-05-24/rotate-gpg.sh -o rotate-gpg.sh   
$ chmod ug+x ./rotate-gpg.sh  
$ ./rotate-gpg.sh  
$ sudo ./rotate-gpg.sh 

对于 HA 或集群拓扑：

• 登录到你的 HA 或集群安装中的任意节点，并运行以下命令；这些命令将下载脚本、将其复制到所有节点，并在所有节点上运行：

$ ghe-cluster-each -- curl -fsSL https://enterprise.github.com/security/2026-05-24/rotate-gpg.sh -o rotate-gpg.sh  
$ ghe-cluster-each -- chmod ug+x ./rotate-gpg.sh   
$ ghe-cluster-each -- ./rotate-gpg.sh  
$ ghe-cluster-each -- sudo ./rotate-gpg.sh 

• 请注意，该密钥同时存储在 admin 和 root 账户中，因此使用 sudo 再运行一次可确保两处都得到更新。

如果未轮换签名密钥，未来的 GitHub Enterprise Server 版本升级将在验证时失败，并显示以下错误消息：

Error: The file provided is not a valid GitHub Enterprise Server package.

这对 GitHub Enterprise Server 客户意味着什么

未来的补丁和版本将使用新密钥签名，客户需要先轮换到新的公钥，才能安装这些补丁和版本。客户应确保仅从官方 GitHub.com 来源 URL 下载 GHES 更新。GitHub 建议客户准备在未来数月内以更高频率获取 GHES 安全更新。

展望未来

随着信息安全格局不断演变，我们正优先强化系统，以应对新出现的威胁。我们将继续向社区通报值得关注的进展。我们不仅致力于保障 GitHub 的安全，也致力于帮助保护更广泛的开源生态系统。

原始博客文章，发布于 2026 年 5 月 20 日：5 月 18 日星期一，我们检测并遏制了一起员工设备被入侵事件，涉及第三方发布的带毒 VS Code 扩展。我们移除了该恶意扩展版本，隔离了终端，并立即启动事件响应。

我们目前的评估是，该活动仅涉及 GitHub 内部代码库的数据外泄。攻击者目前声称涉及约 3,800 个代码库，这与我们迄今为止的调查方向基本一致。

我们没有证据表明存储在 GitHub 内部代码库之外的客户信息受到影响，例如客户自己的企业、组织和代码库。GitHub 的部分内部代码库包含来自客户的信息，例如支持互动摘录。如发现任何影响，我们将通过既定的事件响应和通知渠道告知客户。

我们迅速采取行动以降低风险。我们在周一至周二期间轮换了关键机密，并优先处理影响最高的凭据。

我们持续分析日志，验证机密轮换，并监控基础设施是否存在任何后续活动。调查需要时，我们将采取进一步行动。

调查完成后，我们将发布更完整的报告。

作者

正文：Alexis Wales

正文：@alexiswales

Alexis Wales 是 GitHub 的首席信息安全官。她领导一支安全专家团队，专注于保护 GitHub 平台、产品和开源社区，帮助全球超过 1.5 亿开发者在 GitHub 上安全地构建和部署软件。

Alexis 拥有 20 年保护关键国家网络和私营部门网络的经验，曾在美国国防部以及美国国土安全部网络安全和基础设施安全局（CISA）任职。这些经历激发了她对公私部门协作的热情，以共同解决威胁我们日常所用技术的最艰巨安全挑战。