Was passiert, wenn man einen Secret Key in ein öffentliches Repo hochlädt

 (threadreaderapp.com)
17 Punkte von xguru 2020-11-09 | Noch keine Kommentare. | Auf WhatsApp teilen

Zeitlich geordnete Zusammenfassung der Ergebnisse eines tatsächlichen Experiments auf GitHub und GitLab

  1. Einen AWS-Schlüssel auf GitHub committen

  2. 7 Minuten später: Leak-Warnung von GitGuardian

  3. 11 Minuten später: Token kompromittiert (compromised, geleakt und nicht mehr sicher)

  4. Innerhalb von 2 Stunden 5 Zugriffsbenachrichtigungen aus Deutschland, den Niederlanden, Großbritannien und der Ukraine usw.

  5. GitHub schickt eine Warnmail zu anfälligen Abhängigkeiten (Vulnerable Dependencies)

  6. Auf GitLab committen

  7. 62 Minuten später wird das Token zum ersten und letzten Mal aus Frankreich verwendet

  8. Von GitLab kommt keinerlei Sicherheitswarnung (Sicherheitsbenachrichtigungen gibt es nur für Gold-/Ultimate-Nutzer)

Erkenntnisse

  1. Es gibt mehr Stellen, die GitHub als GitLab scannen

  2. Wenn man GitHub nutzt, sollte man sich den Dienst GitGuardian einmal ansehen

  3. Wenn man GitLab nutzt, sollte man ein Upgrade auf Gold/Ultimate in Betracht ziehen

  4. Um Leaks im Vorfeld zu verhindern, sollte man Talisman (Pre-Commit Hook) verwenden

  5. Um nachträglich zu prüfen, ob etwas geleakt wurde, sollte man den Einsatz von GitLeaks in Betracht ziehen

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.