公開リポジトリにシークレットキーをアップロードすると起きること
(threadreaderapp.com)GitHub と GitLab で実際に実験してみた結果を時系列で整理
-
AWS キーを GitHub にコミット
-
7分後、GitGuardian から漏えい警報
-
11分後、トークン損傷(compromised、漏えいしてもはや安全ではない状態)
-
2時間のあいだにドイツ/オランダ/イギリス/ウクライナなどから 5件のアクセス通知
-
GitHub が脆弱な依存関係(Vulnerable Dependencies)アラートの警告メールを送ってくれる
-
GitLab にコミット
-
62分後、最初で最後の一度だけトークンがフランスから使用される
-
GitLab では何のセキュリティ警告も受け取らない(セキュリティ通知は Gold / Ultimate ユーザーにのみ提供)
教訓
-
GitLab より GitHub をスキャンしているところの方が多い
-
GitHub を使っているなら GitGuardian サービスを一度見てみること
-
GitLab を使っているなら Gold / Ultimate へのアップグレードを検討
-
漏えいを事前に防ぐには Talisman(Pre-Commit Hook)を使うこと
-
漏えいしたかどうかを事後に確認するなら GitLeaks の導入を検討
まだコメントはありません。