GitLab现在自动警告不要将API键合并到你的代码库中

互联网2020-07-28 10:26:26
导读 广受欢迎的devops平台GitLab今天宣布推出带有11 9版本服务的秘密检测。这意味着,如果某人无意中在提交到共享存储库中包含API密钥或秘密

广受欢迎的devops平台GitLab今天宣布推出带有11.9版本服务的秘密检测。这意味着,如果某人无意中在提交到共享存储库中包含API密钥或秘密,该服务将警告用户。

从安全角度看,这是一个巨大的优势。API的秘密应该是那个-秘密。如果他们落入错误的手中,攻击者可以利用他们以开发者的代价获得第三方服务。

就像TNW2020的票价一样

例如,AWS密钥可以被武器化,以旋转数百个非常昂贵的实例,这些实例可以用来挖掘加密货币。一个被盗的TwilioAPI密钥可以用来调用昂贵的溢价率电话号码或广播大量的短信垃圾邮件。

即使您正在处理私有存储库,您仍然不应该在代码中烘焙API密钥。这是可怕的练习。

GitLab的秘密检测软件是其静态分析工具的一部分,称为SAST(静态应用安全测试)。这主要用于检查其他已知漏洞的代码,如网站中的跨站点脚本(XSS)缺陷。如果Sast看到您包含了一个API密钥,它会在您将提交合并到主代码库之前警告您。

它在入院前发出警告的事实是非常有用的。因为这不是事后警告,这意味着开发人员不一定要撤销密钥作为预防措施,节省时间、精力和防止任何潜在的停机时间。

值得一提的是,GitHub有一段时间也有类似的功能。自2015年以来,它主动检查了泄露的OAuth令牌的存储库。去年10月,它更新了这项服务,以检查更广泛的令牌,包括来自Slack和Stripe的令牌。然后,GitHub警告这些供应商,如果情况需要,他们可以撤销令牌。

当然,目前还不清楚这是否有助于塑造用户行为。愚蠢也是如此,北卡罗来纳州立大学最近的一项研究发现,多达10万个包含API令牌和密码密钥的存储库(PD F)。

这不是唯一的更新与GitLab11.9。现在,当涉及到合并更新时,该服务提供了更好、更细粒度的控件。这对于那些自然而然地发展到一刀切的方法不太起作用的团队是有帮助的。

GitLab还开源了它的ChatOps工具,允许用户使用它的免费和基本的自我管理计划,从消息传递应用程序中控制CI/CD作业,比如Slack和Matter most。

此更新现在可用。考虑到每个人在生活中的某个时刻都犯了这个菜鸟错误(没有羞耻心),这可能是最好的。


免责声明:本文由用户上传,如有侵权请联系删除!