ਪ੍ਰਭਾਵ
API ਕੁੰਜੀਆਂ, ਟੋਕਨਾਂ, ਜਾਂ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਵਰਗੇ ਭੇਦ ਲੀਕ ਕਰਨ ਨਾਲ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ, ਸੇਵਾ ਦੀ ਨਕਲ, ਅਤੇ ਸਰੋਤ ਦੀ ਦੁਰਵਰਤੋਂ [S1] ਕਾਰਨ ਮਹੱਤਵਪੂਰਨ ਵਿੱਤੀ ਨੁਕਸਾਨ ਹੋ ਸਕਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਜਦੋਂ ਇੱਕ ਗੁਪਤ ਜਨਤਕ ਭੰਡਾਰ ਲਈ ਵਚਨਬੱਧ ਹੋ ਜਾਂਦਾ ਹੈ ਜਾਂ ਇੱਕ ਫਰੰਟਐਂਡ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਬੰਡਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਸਨੂੰ [S1] ਸਮਝੌਤਾ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।
ਮੂਲ ਕਾਰਨ
ਮੂਲ ਕਾਰਨ ਸੰਵੇਦਨਸ਼ੀਲ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਸਿੱਧੇ ਸਰੋਤ ਕੋਡ ਜਾਂ ਕੌਂਫਿਗਰੇਸ਼ਨ ਫਾਈਲਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਨਾ ਹੈ ਜੋ ਬਾਅਦ ਵਿੱਚ ਸੰਸਕਰਣ ਨਿਯੰਤਰਣ ਲਈ ਵਚਨਬੱਧ ਹੁੰਦੇ ਹਨ ਜਾਂ ਕਲਾਇੰਟ [S1] ਨੂੰ ਪ੍ਰਦਾਨ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਡਿਵੈਲਪਰ ਅਕਸਰ ਵਿਕਾਸ ਦੌਰਾਨ ਸਹੂਲਤ ਲਈ ਹਾਰਡ-ਕੋਡ ਕੁੰਜੀਆਂ ਜਾਂ ਗਲਤੀ ਨਾਲ .env ਫਾਈਲਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਕਮਿਟ [S1] ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਦੇ ਹਨ।
ਕੰਕਰੀਟ ਫਿਕਸ
- ਰੋਟੇਟ ਕੰਪਰੋਮਾਈਜ਼ਡ ਸੀਕਰੇਟਸ: ਜੇਕਰ ਕੋਈ ਰਾਜ਼ ਲੀਕ ਹੋ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਸਨੂੰ ਤੁਰੰਤ ਰੱਦ ਕਰਨਾ ਅਤੇ ਬਦਲਣਾ ਲਾਜ਼ਮੀ ਹੈ। ਕੋਡ ਦੇ ਮੌਜੂਦਾ ਸੰਸਕਰਣ ਤੋਂ ਸਿਰਫ਼ ਗੁਪਤ ਨੂੰ ਹਟਾਉਣਾ ਨਾਕਾਫ਼ੀ ਹੈ ਕਿਉਂਕਿ ਇਹ ਸੰਸਕਰਣ ਨਿਯੰਤਰਣ ਇਤਿਹਾਸ [S1][S2] ਵਿੱਚ ਰਹਿੰਦਾ ਹੈ।
- ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲ ਦੀ ਵਰਤੋਂ ਕਰੋ: ਉਹਨਾਂ ਨੂੰ ਹਾਰਡ-ਕੋਡਿੰਗ ਕਰਨ ਦੀ ਬਜਾਏ ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲਾਂ ਵਿੱਚ ਭੇਦ ਸਟੋਰ ਕਰੋ। ਇਹ ਸੁਨਿਸ਼ਚਿਤ ਕਰੋ ਕਿ
.envਫਾਈਲਾਂ ਨੂੰ.gitignoreਵਿੱਚ ਜੋੜਿਆ ਗਿਆ ਹੈ ਤਾਂ ਜੋ ਦੁਰਘਟਨਾਤਮਕ ਕਮਿਟ [S1] ਨੂੰ ਰੋਕਿਆ ਜਾ ਸਕੇ। - ਗੁਪਤ ਪ੍ਰਬੰਧਨ ਨੂੰ ਲਾਗੂ ਕਰੋ: ਰਨਟਾਈਮ [S1] 'ਤੇ ਐਪਲੀਕੇਸ਼ਨ ਵਾਤਾਵਰਣ ਵਿੱਚ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਇੰਜੈਕਟ ਕਰਨ ਲਈ ਸਮਰਪਿਤ ਗੁਪਤ ਪ੍ਰਬੰਧਨ ਸਾਧਨਾਂ ਜਾਂ ਵਾਲਟ ਸੇਵਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰੋ।
- ਰਿਪੋਜ਼ਟਰੀ ਹਿਸਟਰੀ ਨੂੰ ਪਰਜ ਕਰੋ: ਜੇਕਰ Git ਲਈ ਕੋਈ ਗੁਪਤ ਕੰਮ ਕੀਤਾ ਗਿਆ ਸੀ, ਤਾਂ
git-filter-repoਜਾਂ BFG ਰੇਪੋ-ਕਲੀਨਰ ਵਰਗੇ ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਕਰੋ ਤਾਂ ਕਿ ਰਿਪੋਜ਼ਟਰੀ ਇਤਿਹਾਸ [S2] ਵਿੱਚ ਸਾਰੀਆਂ ਬ੍ਰਾਂਚਾਂ ਅਤੇ ਟੈਗਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਸਥਾਈ ਤੌਰ 'ਤੇ ਹਟਾਇਆ ਜਾ ਸਕੇ।
FixVibe ਇਸਦੇ ਲਈ ਕਿਵੇਂ ਟੈਸਟ ਕਰਦਾ ਹੈ
FixVibe ਹੁਣ ਇਸਨੂੰ ਲਾਈਵ ਸਕੈਨ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ। ਪੈਸਿਵ secrets.js-bundle-sweep ਇੱਕੋ-ਮੂਲ JavaScript ਬੰਡਲਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ ਅਤੇ ਜਾਣੀ ਜਾਂਦੀ API ਕੁੰਜੀ, ਟੋਕਨ, ਅਤੇ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਪੈਟਰਨਾਂ ਨੂੰ ਐਂਟਰੌਪੀ ਅਤੇ ਪਲੇਸਹੋਲਡਰ ਗੇਟਾਂ ਨਾਲ ਮਿਲਦਾ ਹੈ। ਸੰਬੰਧਿਤ ਲਾਈਵ ਜਾਂਚਾਂ ਬ੍ਰਾਊਜ਼ਰ ਸਟੋਰੇਜ, ਸਰੋਤ ਨਕਸ਼ੇ, ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ BaaS ਕਲਾਇੰਟ ਬੰਡਲ, ਅਤੇ GitHub ਰੈਪੋ ਸਰੋਤ ਪੈਟਰਨਾਂ ਦੀ ਜਾਂਚ ਕਰਦੀਆਂ ਹਨ। ਗਿੱਟ ਇਤਿਹਾਸ ਨੂੰ ਮੁੜ ਲਿਖਣਾ ਇੱਕ ਉਪਚਾਰਕ ਕਦਮ ਹੈ; FixVibe ਦੀ ਲਾਈਵ ਕਵਰੇਜ ਭੇਜੇ ਗਏ ਸੰਪਤੀਆਂ, ਬ੍ਰਾਊਜ਼ਰ ਸਟੋਰੇਜ, ਅਤੇ ਮੌਜੂਦਾ ਰੈਪੋ ਸਮੱਗਰੀ ਵਿੱਚ ਮੌਜੂਦ ਰਾਜ਼ਾਂ 'ਤੇ ਕੇਂਦਰਿਤ ਹੈ।