更新时间:2021-09-12 23:10:53
热门的devops平台GitLab今天宣布推出带有11.9版服务的秘密检测。这意味着,如果有人无意中在提交的共享存储库中包含了应用编程接口密钥或秘密,服务将警告用户。
从安全角度来看,这是一个巨大的优势。API的秘密应该就是那个——秘密。如果它们落入坏人之手,攻击者可以利用它们以牺牲开发人员的利益为代价获得第三方服务。
就像TNW2020的票价一样。
例如,AWS密钥可以被武器化,以旋转数百个非常昂贵的实例,这些实例可以用来挖掘加密货币。被盗的TwilioAPI密钥可用于拨打昂贵的高级电话号码或广播大量垃圾短信。
即使您正在处理私有存储库,您也不应该在代码中烘焙API密钥。这是一个可怕的练习。
GitLab的秘密检测软件是其静态分析工具的一部分,该工具被称为SAST(静态应用安全测试)。这主要用于检查具有其他已知漏洞的代码,例如网站中的跨站点脚本(XSS)缺陷。如果Sast看到您包含一个API密钥,它将在您将提交合并到主代码库之前警告您。
它在入院前发出警告的事实非常有用。因为这不是事后警告,它意味着开发人员不必撤销密钥作为预防措施,从而节省时间、精力并防止任何潜在的停机时间。
值得一提的是,GitHub有一段时间也有类似的功能。自2015年以来,它积极检查泄露的OAuth令牌的存储库。去年10月,它更新了该服务,以检查更广泛的令牌,包括来自Slack和Stripe的令牌。GitHub随后警告这些供应商,如果情况需要,他们可以撤销令牌。
当然,目前还不清楚这是否有助于塑造用户行为。愚蠢也是。北卡罗来纳州立大学最近的一项研究发现,有多达10万个存储库(pdf)包含API令牌和密钥。
这不是GitLab11.9的唯一更新。现在,当涉及到合并更新时,该服务提供了更好和更细粒度的控制。这对于那些自然发展成一种一刀切的方法而行不通的团队很有帮助。
GitLab还开放了其ChatOps工具,允许用户使用其免费且基本的自我管理计划来控制来自消息应用程序(如Slack和Matter most)的CI/CD作业。
此更新现已推出。考虑到每个人在人生的某个阶段都犯过这个菜鸟错误(没有羞耻心),这可能是最好的。