Apa yang Terjadi Jika Mengunggah Secret Key ke Repo Publik
(threadreaderapp.com)Hasil eksperimen nyata di GitHub dan GitLab, disusun secara kronologis
-
Commit kunci AWS ke GitHub
-
7 menit kemudian, menerima peringatan kebocoran dari GitGuardian
-
11 menit kemudian, token dianggap terkompromi (compromised, sudah bocor dan tidak lagi aman)
-
Selama 2 jam, ada 5 notifikasi akses dari Jerman/Belanda/Inggris/Ukraina dan lain-lain
-
GitHub mengirim email peringatan Vulnerable Dependencies
-
Commit ke GitLab
-
62 menit kemudian, token digunakan untuk pertama dan terakhir kalinya dari Prancis
-
Di GitLab tidak menerima peringatan keamanan apa pun (peringatan keamanan hanya tersedia untuk pengguna Gold/Ultimate)
Pelajaran yang didapat
-
Lebih banyak pihak yang memindai GitHub dibanding GitLab
-
Jika menggunakan GitHub, ada baiknya melihat layanan GitGuardian
-
Jika menggunakan GitLab, pertimbangkan upgrade ke Gold/Ultimate
-
Untuk mencegah kebocoran sebelumnya, gunakan Talisman (Pre-Commit Hook)
-
Untuk memeriksa setelah kejadian apakah ada kebocoran, pertimbangkan mengadopsi GitLeaks
3 komentar
Memalukan memang, tapi saya juga pernah mengunggah key ke repositori GitHub, dan lalu saya dihubungi oleh AWS. Mereka memberi tahu bahwa jika tidak ditangani dalam batas waktu yang ditentukan, key tersebut akan dinonaktifkan, jadi saya diminta segera mengganti key itu dan juga mengambil langkah seperti mengubah kata sandi akun terkait.
Bukankah semua orang setidaknya pernah mengalaminya sekali... hahaha
GitGuardian : https://www.gitguardian.com/
Talisman : https://github.com/thoughtworks/talisman/
GitLeaks : https://github.com/zricethezav/gitleaks