公開リポジトリにシークレットキーをアップロードすると起きること
(threadreaderapp.com)GitHub と GitLab で実際に実験してみた結果を時系列で整理
-
AWS キーを GitHub にコミット
-
7分後、GitGuardian から漏えい警報
-
11分後、トークン損傷(compromised、漏えいしてもはや安全ではない状態)
-
2時間のあいだにドイツ/オランダ/イギリス/ウクライナなどから 5件のアクセス通知
-
GitHub が脆弱な依存関係(Vulnerable Dependencies)アラートの警告メールを送ってくれる
-
GitLab にコミット
-
62分後、最初で最後の一度だけトークンがフランスから使用される
-
GitLab では何のセキュリティ警告も受け取らない(セキュリティ通知は Gold / Ultimate ユーザーにのみ提供)
教訓
-
GitLab より GitHub をスキャンしているところの方が多い
-
GitHub を使っているなら GitGuardian サービスを一度見てみること
-
GitLab を使っているなら Gold / Ultimate へのアップグレードを検討
-
漏えいを事前に防ぐには Talisman(Pre-Commit Hook)を使うこと
-
漏えいしたかどうかを事後に確認するなら GitLeaks の導入を検討
3件のコメント
恥ずかしい話ですが、私もキーをGitHubリポジトリに上げてしまったことがあり、そのときAWSから連絡が来ました。定められた期限内に対応しないとキーを無効化するので、早急にキーを変更し、該当アカウントのパスワードも変更するなどの対応を案内されました。
それって、誰でも一度くらいは経験することじゃないですか…(笑)
公開Repoにシークレットキーをアップロードすると起こること
GitGuardian : https://www.gitguardian.com/
Talisman : https://github.com/thoughtworks/talisman/
GitLeaks : https://github.com/zricethezav/gitleaks