पब्लिक Repo में secret key अपलोड करने पर क्या होता है

 (threadreaderapp.com)
17 पॉइंट द्वारा xguru 2020-11-09 | 3 टिप्पणियां | WhatsApp पर शेयर करें

GitHub और GitLab पर वास्तव में किए गए प्रयोग के नतीजों का समयानुसार सारांश

  1. AWS key को GitHub पर commit किया

  2. 7 मिनट बाद, GitGuardian से लीक अलर्ट मिला

  3. 11 मिनट बाद, token compromised हो गया (लीक हो चुका, अब सुरक्षित नहीं)

  4. 2 घंटे के दौरान जर्मनी/नीदरलैंड/यूके/यूक्रेन आदि से 5 access alerts मिले

  5. GitHub ने vulnerable dependencies अलर्ट वाला warning mail भेजा

  6. GitLab पर commit किया

  7. 62 मिनट बाद पहली और आखिरी बार token फ्रांस से इस्तेमाल हुआ

  8. GitLab में कोई security warning नहीं मिली (security alerts सिर्फ Gold/Ultimate users को मिलते हैं)

सीख

  1. GitLab की तुलना में GitHub को scan करने वाली जगहें अधिक हैं

  2. अगर आप GitHub इस्तेमाल कर रहे हैं, तो GitGuardian service को एक बार ज़रूर देखें

  3. अगर आप GitLab इस्तेमाल कर रहे हैं, तो Gold/Ultimate upgrade पर विचार करें

  4. लीक को पहले से रोकने के लिए Talisman (Pre-Commit Hook) का उपयोग करें

  5. लीक हुआ है या नहीं, इसकी बाद में जांच के लिए GitLeaks अपनाने पर विचार करें

संबंधित पढ़ाई

3 टिप्पणियां

 
galadbran 2020-11-09

शर्म की बात है, लेकिन मैंने भी एक बार अपनी key GitHub repository में अपलोड कर दी थी, और फिर AWS की तरफ़ से संपर्क आया। उन्होंने बताया कि अगर तय समय सीमा के भीतर कार्रवाई नहीं की गई, तो key को निष्क्रिय कर दिया जाएगा, इसलिए जल्दी से key बदलने और उस account का password भी बदलने जैसी कार्रवाइयों के बारे में मार्गदर्शन दिया गया।
 
xguru 2020-11-09

क्या वो चीज़ नहीं है जो लगभग हर किसी के साथ कम से कम एक बार तो हो ही जाती है... हाहाहा