如何避免企业的数据和机密从GitHub存储库泄露
发布时间:2022-06-28 14:22:58 所属栏目:云计算 来源:互联网
导读:研究表明,网络攻击者不断在GitHub等公共代码存储库中搜索开发人员可能留下的秘密,任何微小的错误都可能被他们利用。 实验表明,威胁行为者不断扫描GitHub和其他公共代码存储库,寻找开发人员留下的敏感数据。随着企业从内部部署软件过渡到云平台以及越来越
|
研究表明,网络攻击者不断在GitHub等公共代码存储库中搜索开发人员可能留下的秘密,任何微小的错误都可能被他们利用。 实验表明,威胁行为者不断扫描GitHub和其他公共代码存储库,寻找开发人员留下的敏感数据。随着企业从内部部署软件过渡到云平台以及越来越多的开发人员在家工作,包括用户名、密码、Google密钥、开发工具或私钥在内的机密不断增加。法国安全初创厂商GitGuardian公司的联合创始人Eric Fourrier表示,仅在今年,数据泄露就比去年至少增加了20%,该公司主要提供扫描公共存储库以识别网络攻击者可能利用的数据的服务。 GitHub上最常见的机密类型 Hays说,“我在旧版本的文件中发现了很多密码,而这些密码已被更新的、更干净的版本替换,而这些版本中没有密码。”Git提交历史会记住所有内容,除非明确删除它。 无论是初级开发人员还是高级开发人员都可能犯错误。Fourrier说。,“即使你是一位出色的开发人员,并且在安全问题上受过教育,在某些时候编码时,可能会犯错误,而泄露秘密通常是人为的错误。” 在GitHub上发现的最常见的文件类型 任何开发人员都会出错,那些刚进入职场的开发人员通常会泄露更多的机密。当Crina Catalina Bucur多年前还是一名软件工程专业的学生时,就开设了一个用于开发目的的AWS账户,但不久收到了2000美元的账单,其中只有0.01美元是她应该支付的费用。 她说,“我开发的项目是一个聚合文件管理平台,用于大约10种云存储服务,包括亚马逊的S3。这发生在GitHub提供免费私有存储库之前,所以我的AWS访问密钥和相应的密钥与代码一起发布到我的公共存储库。而我当时并没有考虑太多。” 几天后,她开始收到来自AWS的电子邮件,警告她的账户已被盗用,但她没有仔细阅读这些邮件,直到收到账单。对她来说,幸运的是AWS公司免除了其他额外费用。但Bucur还是犯了一些被黑客利用的错误,包括为方便起见对密钥进行硬编码并将它们发布到公共代码存储库中。 Hays表示,如今想要发现此类错误的黑客只需要很少的资源。他在业余时间是一名漏洞的赏金猎人,并且经常依赖开源情报(OSINT),这些都是可以在网上找到的信息。他说,“我选择的方法是使用标准的Github.com界面人工搜索,我使用搜索运算符限制特定的文件类型、关键字、用户和组织,具体取决于针对的公司。” 一些工具可以使过程更快、更有效。HUMAN公司的安全研究员Gabriel Cirlig说:“网络攻击者运行自动机器人来抓取GitHub内容并提取敏感信息。这些机器人可以一直运行,这意味着黑客可以在几秒钟或几分钟内检测到错误。” 一旦发现秘密,网络攻击者就可以轻松利用它。Fourrier说,“例如,如果找到AWS密钥,就可以访问某公司的所有云计算基础设施。而针对为特定公司工作的开发人员并尝试查看该公司的一些资产非常简单。”根据机密的性质,黑客可以做很多事情,其中包括发起供应链攻击和危害企业的安全。 与此同时,他建议开发人员注意他们编写和部署代码的方式。他说,“首先要做的事情之一是将正确的设置添加到.gitignore文件中,这个文件告诉Git和GitHub.com哪些文件不应该被跟踪和上传到互联网。” 一些安全初创厂商也在试图填补这一空白。GittyLeaks、SecretOps、gitLeaks和GitGuardian旨在为业务用户和独立专业人士提供更多的保护层。有些人可以在几秒钟内检测到泄露的机密,从而使开发人员和公司能够立即采取行动。Fourrier说,“我们在整个开发生命周期、Docker容器、不同类型的数据中扫描软件上的所有代码,我们找到并试图撤销它们。” 在理想情况下,最好的策略是根本不泄露数据或尽可能少地泄露,提高对这一问题的认识有助于做到这一点。Cirlig说:“教育开发人员编写安全代码并主动阻止攻击总比事后应对数据泄露事件要好得多。” (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
热点阅读
浙公网安备 33038102330459号