O que acontece quando você faz upload de uma chave secreta em um repositório público

 (threadreaderapp.com)
17 pontos por xguru 2020-11-09 | Ainda não há comentários. | Compartilhar no WhatsApp

Resultados de um experimento real no GitHub e no GitLab, organizados em ordem cronológica

  1. Commit de uma chave da AWS no GitHub

  2. Após 7 minutos, alerta de vazamento do GitGuardian

  3. Após 11 minutos, token comprometido (compromised, vazado e não mais seguro)

  4. Durante 2 horas, 5 alertas de acesso vindos da Alemanha/Holanda/Reino Unido/Ucrânia etc.

  5. O GitHub enviou um e-mail de alerta sobre dependências vulneráveis (Vulnerable Dependencies)

  6. Commit no GitLab

  7. Após 62 minutos, o token foi usado pela primeira e última vez na França

  8. No GitLab, não houve nenhum alerta de segurança (alertas de segurança disponíveis apenas para usuários Gold/Ultimate)

Lições

  1. Há mais serviços escaneando o GitHub do que o GitLab

  2. Se você usa GitHub, vale a pena dar uma olhada no serviço GitGuardian

  3. Se você usa GitLab, considere fazer upgrade para Gold/Ultimate

  4. Para evitar vazamentos antes que aconteçam, use o Talisman (pre-commit hook)

  5. Para verificar depois se houve vazamento, considere adotar o GitLeaks

Leituras relacionadas

Ainda não há comentários.

Ainda não há comentários.