17 poin oleh xguru 2020-11-09 | 3 komentar | Bagikan ke WhatsApp

Hasil eksperimen nyata di GitHub dan GitLab, disusun secara kronologis

  1. Commit kunci AWS ke GitHub

  2. 7 menit kemudian, menerima peringatan kebocoran dari GitGuardian

  3. 11 menit kemudian, token dianggap terkompromi (compromised, sudah bocor dan tidak lagi aman)

  4. Selama 2 jam, ada 5 notifikasi akses dari Jerman/Belanda/Inggris/Ukraina dan lain-lain

  5. GitHub mengirim email peringatan Vulnerable Dependencies

  6. Commit ke GitLab

  7. 62 menit kemudian, token digunakan untuk pertama dan terakhir kalinya dari Prancis

  8. Di GitLab tidak menerima peringatan keamanan apa pun (peringatan keamanan hanya tersedia untuk pengguna Gold/Ultimate)

Pelajaran yang didapat

  1. Lebih banyak pihak yang memindai GitHub dibanding GitLab

  2. Jika menggunakan GitHub, ada baiknya melihat layanan GitGuardian

  3. Jika menggunakan GitLab, pertimbangkan upgrade ke Gold/Ultimate

  4. Untuk mencegah kebocoran sebelumnya, gunakan Talisman (Pre-Commit Hook)

  5. Untuk memeriksa setelah kejadian apakah ada kebocoran, pertimbangkan mengadopsi GitLeaks

3 komentar

 
galadbran 2020-11-09

Memalukan memang, tapi saya juga pernah mengunggah key ke repositori GitHub, dan lalu saya dihubungi oleh AWS. Mereka memberi tahu bahwa jika tidak ditangani dalam batas waktu yang ditentukan, key tersebut akan dinonaktifkan, jadi saya diminta segera mengganti key itu dan juga mengambil langkah seperti mengubah kata sandi akun terkait.

 
xguru 2020-11-09

Bukankah semua orang setidaknya pernah mengalaminya sekali... hahaha