ຜົນກະທົບ
ການຮົ່ວໄຫລຄວາມລັບເຊັ່ນກະແຈ API, ໂທເຄັນ, ຫຼືຂໍ້ມູນປະຈໍາຕົວສາມາດນໍາໄປສູ່ການເຂົ້າເຖິງຂໍ້ມູນທີ່ລະອຽດອ່ອນໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ, ການປອມຕົວເປັນການບໍລິການ, ແລະການສູນເສຍທາງດ້ານການເງິນຢ່າງຫຼວງຫຼາຍເນື່ອງຈາກການລ່ວງລະເມີດຊັບພະຍາກອນ [S1]. ເມື່ອຄວາມລັບຖືກຜູກມັດກັບບ່ອນເກັບມ້ຽນສາທາລະນະຫຼືຖືກມັດເຂົ້າໄປໃນຄໍາຮ້ອງສະຫມັກດ້ານຫນ້າ, ມັນຄວນຈະຖືກພິຈາລະນາການປະນີປະນອມ [S1].
ສາເຫດ
ສາເຫດຫຼັກແມ່ນການລວມເອົາຂໍ້ມູນປະຈຳຕົວທີ່ລະອຽດອ່ອນໂດຍກົງໃນລະຫັດແຫຼ່ງ ຫຼືໄຟລ໌ການຕັ້ງຄ່າທີ່ໝັ້ນໃຈໃນພາຍຫຼັງຕໍ່ກັບການຄວບຄຸມເວີຊັນ ຫຼືໃຫ້ບໍລິການໃຫ້ກັບລູກຄ້າ [S1]. ນັກພັດທະນາມັກຈະໃສ່ລະຫັດຍາກເພື່ອຄວາມສະດວກໃນລະຫວ່າງການພັດທະນາຫຼືບັງເອີນປະກອບມີໄຟລ໌ .env ໃນ commits ຂອງພວກເຂົາ [S1].
ແກ້ໄຂຄອນກີດ
- ໝຸນຄວາມລັບທີ່ຖືກປະນີປະນອມ: ຖ້າຄວາມລັບຖືກຮົ່ວໄຫຼ, ມັນຕ້ອງຖືກຖອນຄືນ ແລະປ່ຽນແທນທັນທີ. ພຽງແຕ່ເອົາຄວາມລັບອອກຈາກລະຫັດສະບັບປະຈຸບັນແມ່ນບໍ່ພຽງພໍເພາະວ່າມັນຍັງຄົງຢູ່ໃນປະຫວັດການຄວບຄຸມເວີຊັນ [S1][S2].
- ໃຊ້ຕົວແປສະພາບແວດລ້ອມ: ເກັບຮັກສາຄວາມລັບຢູ່ໃນຕົວແປສະພາບແວດລ້ອມ ແທນທີ່ຈະເປັນລະຫັດຍາກ. ໃຫ້ແນ່ໃຈວ່າໄຟລ໌
.envໄດ້ຖືກເພີ່ມໃສ່.gitignoreເພື່ອປ້ອງກັນການກະທຳຜິດໂດຍບັງເອີນ [S1]. - ປະຕິບັດການຈັດການຄວາມລັບ: ໃຊ້ເຄື່ອງມືຄຸ້ມຄອງຄວາມລັບທີ່ອຸທິດຕົນ ຫຼືບໍລິການຫ້ອງໂຖງເພື່ອໃສ່ຂໍ້ມູນປະຈໍາຕົວເຂົ້າໄປໃນສະພາບແວດລ້ອມຂອງແອັບພລິເຄຊັນທີ່ runtime [S1].
- Purge Repository History: ຖ້າຄວາມລັບຖືກຍຶດໝັ້ນກັບ Git, ໃຫ້ໃຊ້ເຄື່ອງມືເຊັ່ນ
git-filter-repoຫຼື BFG Repo-Cleaner ເພື່ອເອົາຂໍ້ມູນທີ່ລະອຽດອ່ອນອອກຈາກທຸກສາຂາ ແລະ tags ໃນປະຫວັດຂອງ repository [S2] ຢ່າງຖາວອນ.
ວິທີການ FixVibe ທົດສອບສໍາລັບມັນ
FixVibe ຕອນນີ້ລວມເອົາອັນນີ້ໃນການສະແກນສົດ. Passive secrets.js-bundle-sweep ດາວໂຫຼດຊຸດ JavaScript ຕົ້ນສະບັບດຽວກັນ ແລະກົງກັບລະຫັດ API ທີ່ຮູ້ຈັກ, ໂທເຄັນ, ແລະຮູບແບບການຮັບຮອງທີ່ມີ entropy ແລະ placeholder gates. ການກວດສອບສົດທີ່ກ່ຽວຂ້ອງກວດສອບການເກັບຮັກສາຂອງຕົວທ່ອງເວັບ, ແຜນທີ່ແຫຼ່ງ, auth ແລະຊຸດລູກຄ້າ BaaS, ແລະ GitHub ຮູບແບບແຫຼ່ງ repo. ການຂຽນປະຫວັດສາດ Git ຍັງຄົງເປັນຂັ້ນຕອນການແກ້ໄຂ; ການຄຸ້ມຄອງສົດຂອງ FixVibe ສຸມໃສ່ຄວາມລັບທີ່ມີຢູ່ໃນຊັບສິນທີ່ຖືກສົ່ງ, ການເກັບຮັກສາຂອງຕົວທ່ອງເວັບ, ແລະເນື້ອຫາ repo ໃນປັດຈຸບັນ.