17 pontos por xguru 2020-11-09 | 3 comentários | Compartilhar no WhatsApp

Resultados de um experimento real no GitHub e no GitLab, organizados em ordem cronológica

  1. Commit de uma chave da AWS no GitHub

  2. Após 7 minutos, alerta de vazamento do GitGuardian

  3. Após 11 minutos, token comprometido (compromised, vazado e não mais seguro)

  4. Durante 2 horas, 5 alertas de acesso vindos da Alemanha/Holanda/Reino Unido/Ucrânia etc.

  5. O GitHub enviou um e-mail de alerta sobre dependências vulneráveis (Vulnerable Dependencies)

  6. Commit no GitLab

  7. Após 62 minutos, o token foi usado pela primeira e última vez na França

  8. No GitLab, não houve nenhum alerta de segurança (alertas de segurança disponíveis apenas para usuários Gold/Ultimate)

Lições

  1. Há mais serviços escaneando o GitHub do que o GitLab

  2. Se você usa GitHub, vale a pena dar uma olhada no serviço GitGuardian

  3. Se você usa GitLab, considere fazer upgrade para Gold/Ultimate

  4. Para evitar vazamentos antes que aconteçam, use o Talisman (pre-commit hook)

  5. Para verificar depois se houve vazamento, considere adotar o GitLeaks

3 comentários

 
galadbran 2020-11-09

É constrangedor, mas eu também já subi uma chave para um repositório no GitHub, e a AWS entrou em contato comigo. Eles me orientaram a tomar providências rapidamente, dizendo que, se eu não resolvesse dentro do prazo estipulado, desativariam a chave, além de recomendar a troca da chave e também da senha da conta.

 
xguru 2020-11-09

Isso é algo que todo mundo acaba passando pelo menos uma vez... hahaha