没有吧，Datagrip 只有表结构同步，数据同步还是得 navicat

@815979670 还有收费模拟器的利益

啊，你刚刚说什么？

op 大概想说的是生产力环境

闲鱼买台二手的，用完再卖掉

吃一星期韭菜炒鸡蛋，洋葱炒鸡蛋，番茄炒鸡蛋再来说

多放孜然，再配一杯快乐水

jinja 是模板引擎，并没有限定只能给 html 用

tmdb

99 刀是一次性买断，包含 3 年更新，还没有设备数量限制，三大平台都可用。这么良心的软件很少了。

装 Windows ，虚拟机跑 linux 和黑群晖

@codehz hn 的讨论气氛和这里可不一样，嘿嘿。我提到的几个观点在那边也有人提出来，人家的回复和思考理性多了。

hn 上面还提到了一些我没有想到的观点，比如 Github 会不会扫瞄私有仓库，然后这些合作厂商是不是能故意传任意的正则来窃取不属于它的 token ，甚至还有说去扫描比特币种子的，大开眼界了。

@jamosLi 邮件当然是每天都看的。
接口出现信息泄露，临时设置为不可访问不是正常操作吗？

@T0m008 我举的这个例子不能算是 token 被破解。因为攻击者只是放了个字典，由 GitHub 完成请求的提交，攻击者看不到回显的结果。但是有可能造成实际的破坏。就好像随机砸死一位幸运观众 🐶

@jamosLi #34 Github 可以直接通知用户，同时把仓库设置为 private 。

@alexkuang 密钥一般会有监测防护机制，比如一个 ip 尝试了多少次不同的密钥都失败了，就屏蔽这个 ip ，所以这种枚举的成本很大。但是，对这种内部主动扫瞄一般是不会限制，这里的枚举攻击是有可能的。

@hidemyself 不能保证，但是，我的观点是 github 不应该主动把这些信息发出去。

@dzdh
#17
3. 是的，它推送的内容，后续会被如何使用是未知的
5. 找个正常的项目配置文件伪造整个配制文件就行了，一个文件一个 token ，弄一堆零散的文件出来。就比如生产配置和测试配置通常是类似的内容，只是里面的一些配置不一样。批量生成一堆配置

@Kangtai 一样的，不论是国内还是国外，这种集中收集敏感信息的行为，无论是推给哪个厂商都是很危险的。

@janus77 我直接伪造配置文件代码，生成一堆文件，每个文件枚举一个 token ，copilot 能分辨的出？

假设我有个阿里云的 token ，长得和微信的类似，这个 token 发给微信到底是否合适？如何保证我的阿里云 token 不会被微信恶意使用？