Açık bir repo’ya secret key yüklerseniz neler olur
(threadreaderapp.com)GitHub ve GitLab üzerinde gerçekten denenmiş sonuçların zaman sıralı özeti
-
AWS anahtarını GitHub’a commit etme
-
7 dakika sonra GitGuardian’dan sızıntı uyarısı
-
11 dakika sonra token’ın tehlikeye girmesi (
compromised, sızdırıldığı için artık güvenli değil) -
2 saat boyunca Almanya/Hollanda/Birleşik Krallık/Ukrayna vb. yerlerden 5 erişim bildirimi
-
GitHub’un zafiyetli bağımlılıklar (
Vulnerable Dependencies) için uyarı e-postası göndermesi -
GitLab’a commit etme
-
62 dakika sonra token’ın Fransa’da ilk ve son kez kullanılması
-
GitLab’da hiçbir güvenlik uyarısı alınmaması (güvenlik bildirimleri yalnızca Gold/Ultimate kullanıcılarına sunuluyor)
Çıkarılan dersler
-
GitLab’a kıyasla GitHub’ı tarayan daha fazla yer var
-
GitHub kullanıyorsanız GitGuardian hizmetine bir göz atın
-
GitLab kullanıyorsanız Gold/Ultimate yükseltmesini değerlendirin
-
Sızıntıyı önceden engellemek için Talisman (pre-commit hook) kullanın
-
Sızıntı olup olmadığını sonradan kontrol etmek için GitLeaks kullanımını değerlendirin
3 yorum
Utanç verici ama ben de bir keresinde bir anahtarı GitHub deposuna yüklemiştim; sonra AWS bana ulaştı. Belirlenen süre içinde gerekli işlemleri yapmazsam anahtarı devre dışı bırakacaklarını, bu yüzden hızlıca anahtarı değiştirmem ve ilgili hesabın parolasını da değiştirmem gibi önlemler almam gerektiğini bildirdiler.
Bu, hepimizin en az bir kez yaşadığı bir şey değil mi... hahaha
GitGuardian : https://www.gitguardian.com/
Talisman : https://github.com/thoughtworks/talisman/
GitLeaks : https://github.com/zricethezav/gitleaks