અસર
API કી, ટોકન્સ અથવા ઓળખપત્રો જેવા રહસ્યો લીક થવાથી સંવેદનશીલ ડેટાની અનધિકૃત ઍક્સેસ, સેવાનો ઢોંગ અને સંસાધનના દુરુપયોગને કારણે નોંધપાત્ર નાણાકીય નુકસાન થઈ શકે છે. એકવાર કોઈ ગુપ્ત સાર્વજનિક ભંડાર માટે પ્રતિબદ્ધ થઈ જાય અથવા ફ્રન્ટએન્ડ એપ્લિકેશનમાં બંડલ થઈ જાય, તે [S1] સાથે સમાધાનકારી ગણવું જોઈએ.
મૂળ કારણ
મૂળ કારણ એ છે કે સીધું સોર્સ કોડ અથવા રૂપરેખાંકન ફાઈલોમાં સંવેદનશીલ ઓળખપત્રોનો સમાવેશ છે જે પછીથી સંસ્કરણ નિયંત્રણ માટે પ્રતિબદ્ધ છે અથવા ક્લાયંટ [S1] ને સેવા આપવામાં આવે છે. ડેવલપર્સ ઘણીવાર ડેવલપમેન્ટ દરમિયાન સગવડતા માટે હાર્ડ-કોડ કીઝ અથવા આકસ્મિક રીતે .env ફાઇલોને તેમની કમિટ્સમાં [S1] નો સમાવેશ કરે છે.
કોંક્રિટ ફિક્સેસ
- રોટેટ કોમ્પ્રોમાઇઝ્ડ સિક્રેટ્સ: જો કોઈ રહસ્ય લીક થઈ જાય, તો તેને રદ કરીને તરત જ બદલવું આવશ્યક છે. કોડના વર્તમાન સંસ્કરણમાંથી ફક્ત રહસ્યને દૂર કરવું અપૂરતું છે કારણ કે તે સંસ્કરણ નિયંત્રણ ઇતિહાસ [S1][S2] માં રહે છે.
- પર્યાવરણ વેરિયેબલ્સનો ઉપયોગ કરો: પર્યાવરણ વેરીએબલ્સમાં રહસ્યોને હાર્ડ-કોડિંગ કરવાને બદલે સ્ટોર કરો. ખાતરી કરો કે
.envફાઇલો.gitignoreમાં ઉમેરવામાં આવી છે જેથી આકસ્મિક કમિટ [S1] ને અટકાવી શકાય. - સિક્રેટ મેનેજમેન્ટનો અમલ કરો: રનટાઇમ [S1] પર એપ્લિકેશન પર્યાવરણમાં ઓળખપત્રો દાખલ કરવા માટે સમર્પિત ગુપ્ત સંચાલન સાધનો અથવા વૉલ્ટ સેવાઓનો ઉપયોગ કરો.
- પર્જ રિપોઝીટરી હિસ્ટ્રી: જો ગિટ માટે કોઈ રહસ્ય પ્રતિબદ્ધ હતું, તો
git-filter-repoઅથવા BFG રેપો-ક્લીનર જેવા સાધનોનો ઉપયોગ કરીને તમામ શાખાઓમાંથી સંવેદનશીલ ડેટા અને રિપોઝીટરી ઈતિહાસ [S2] માંના ટૅગ્સને કાયમ માટે દૂર કરો.
FixVibe તેના માટે કેવી રીતે પરીક્ષણ કરે છે
FixVibe હવે લાઇવ સ્કેન્સમાં આનો સમાવેશ કરે છે. નિષ્ક્રિય secrets.js-bundle-sweep એ જ મૂળના JavaScript બંડલ્સ ડાઉનલોડ કરે છે અને એન્ટ્રોપી અને પ્લેસહોલ્ડર ગેટ સાથે જાણીતી API કી, ટોકન અને ઓળખપત્ર પેટર્ન સાથે મેળ ખાય છે. સંબંધિત લાઇવ ચેક્સ બ્રાઉઝર સ્ટોરેજ, સ્ત્રોત નકશા, પ્રમાણીકરણ અને BaaS ક્લાયંટ બંડલ્સ અને GitHub રેપો સ્રોત પેટર્નનું નિરીક્ષણ કરે છે. ગિટ ઇતિહાસનું પુનર્લેખન એ એક ઉપાયનું પગલું છે; FixVibe નું લાઇવ કવરેજ મોકલેલ અસ્કયામતો, બ્રાઉઝર સ્ટોરેજ અને વર્તમાન રેપો સામગ્રીઓમાં હાજર રહસ્યો પર ધ્યાન કેન્દ્રિત કરે છે.