공개 Repo에 시크릿Key를 업로드하면 생기는 일
(threadreaderapp.com)GitHub과 GitLab에 실제로 실험해본 결과를 시간 순 정리
1. AWS 키를 깃헙에 커밋
2. 7분후, GitGuardian 으로부터 유출 경보
3. 11분후, 토큰 손상(compromised, 유출되어 더 이상 안전하지 않음)
4. 2시간동안 독일/네덜란드/영국/우크라이나 등에서 5개의 접근 알림
5. GitHub가 취약 종속성(Vulnerable Dependencies) 알림 경고메일을 보내줌
1. 깃랩에 커밋
2. 62분후 처음이자 마지막으로 토큰이 프랑스에서 사용됨
3. GitLab 에서는 아무런 보안경고를 받지 않음( Gold/Ultimate 사용자에게만 보안알림 제공)
교훈들
0. GitLab 보다 GitHub 을 스캔하는 곳이 더 많다
1. GitHub 을 사용중이라면 GitGuardian 서비스를 한번 살펴 볼 것
2. GitLab 을 사용중이라면 Gold/Ultimate 업그레이드를 고려
3. 유출을 사전에 막으려면 Talisman (Pre-Commit Hook)을 이용할 것
4. 유출되었는지 사후에 확인하는건 GitLeaks 를 도입 고려
부끄럽지만 저도 키를 깃헙 저장소에 올린 적이 있는데, AWS 에서 연락이 오더라고요. 정해진 기한 내에 조치하지 않으면 키를 비활성화 시킬거니까 빨리 키를 변경하고, 해당 계정의 비번도 변경하는 등의 조치를 안내하더라고요.
GitGuardian : https://www.gitguardian.com/
Talisman : https://github.com/thoughtworks/talisman/
GitLeaks : https://github.com/zricethezav/gitleaks