Lo que pasa cuando subes una Secret Key a un repo público

 (threadreaderapp.com)
17 puntos por xguru 2020-11-09 | Aún no hay comentarios. | Compartir por WhatsApp

Resumen cronológico de un experimento real en GitHub y GitLab

  1. Commit de una clave de AWS en GitHub

  2. 7 minutos después, alerta de filtración por parte de GitGuardian

  3. 11 minutos después, el token quedó comprometido (compromised, filtrado y ya no es seguro)

  4. Durante 2 horas, 5 alertas de acceso desde Alemania / Países Bajos / Reino Unido / Ucrania, etc.

  5. GitHub envió un correo de advertencia por dependencias vulnerables (Vulnerable Dependencies)

  6. Commit en GitLab

  7. 62 minutos después, el token se usó por primera y última vez desde Francia

  8. En GitLab no se recibió ninguna alerta de seguridad (las alertas de seguridad solo se ofrecen a usuarios Gold/Ultimate)

Lecciones

  1. Hay más lugares escaneando GitHub que GitLab

  2. Si usas GitHub, vale la pena revisar el servicio de GitGuardian

  3. Si usas GitLab, considera subir a Gold/Ultimate

  4. Para evitar filtraciones de antemano, usa Talisman (Pre-Commit Hook)

  5. Para verificar después si hubo filtración, considera implementar GitLeaks

Lecturas relacionadas

Aún no hay comentarios.

Aún no hay comentarios.