FixVibe
Covered by FixVibehigh

nisqa API Llave fuga: Riesgokuna chaymanta allichay kunan pacha Web Apps kaqpi

nisqa ZXCVFIXVIBESEG2 nisqa Hard-codificado pakasqakuna frontend codigo utaq waqaychasqa historia kaqpi atacadores serviciokuna hina ruwayta, sapalla willaykunaman yaykuyta chaymanta qullqita quyta saqin. Kay qillqasqaqa pakasqa fugas nisqamanta riesgokunamantam rimachkan, chaynallataqmi chuyanchanapaq hinaspa harkanapaq imakuna ruwanamanta.

CWE-798

nisqa ZXCVFIXVIBESEG3 nisqa

Impacto

nisqa ZXCVFIXVIBESEG4 nisqa Pakakuna lluqsichiy kayhina API llavekuna, tokenkuna utaq credencialkuna mana kamachisqa yaykuyman sensibles willaykunaman, yanapakuyman rikch'akuyman chaymanta hatun qullqi chinkachiyman apayta atinku recursokuna mana allin [S1] kaqrayku. Huk kuti huk pakasqa huk llapapaq waqaychasqaman qusqa utaq huk frontend ruwanaman huñusqa, chayta qhawasqa kanan tiyan pantasqa [S1].

nisqa ZXCVFIXVIBESEG5 nisqa

Saphi Kausa

nisqa ZXCVFIXVIBESEG6 nisqa Saphi causaqa sensibles credenciales chiqamanta pukyuta utaq ruwana willañiqikunapi churaymi chaymanta qhipaman laya kamachiyman qusqa utaq [S1] rantiqman qusqa. Ruwaqkuna sapa kuti sinchi-codigo llavekuna allin kananpaq wiñachiy pachapi utaq mana yuyaypi .env willañiqikunata commitsninkupi [S1] kaqpi churanku.

nisqa ZXCVFIXVIBESEG7 nisqa

Hormigón nisqamanta allichakuykuna

nisqa ZXCVFIXVIBESEG8 nisqa

  • Pakasqakunata muyuchiy: Ima pakasqapas lluqsimun chayqa, chayllam revocana hinaspa cambiana. Simplemente pakasqata kunan layamanta codigomanta hurquylla mana suficientechu imaraykuchus laya kamachiy historiapi qhipakuchkan [S1][S2].

nisqa ZXCVFIXVIBESEG9 nisqa9

  • Pachamama tikraykunata llamk'achiy: Pakakunata pachamama tikraqkunapi waqaychay, sinchi codificacionmanta. Aseguray .env willañiqikuna .gitignore kaqman yapasqa kasqankuta mana accidental commits [S1] kaqman.

nisqa ZXCVFIXVIBESEG10 nisqa

  • Paka kamachiyta ruway: Sapaqchasqa pakasqa kamachiy yanapakuykunata utaq vault yanapakuykunata llamk'achiy credencialkuna ruwana pachaman inyectanapaq purichiy pacha [S1].

nisqa ZXCVFIXVIBESEG11 nisqa

  • Waqaychasqa Historiata ch'uyanchay: Sichus huk pakasqa Git kaqman qusqa karqa, git-filter-repo utaq BFG Repo-Cleaner hina yanapakuykunata llamk'achiy wiñaypaq llapa ramakunamanta chaymanta etiquetakunamanta waqaychasqa willayta [S2] kaqpi sensibles willayta hurqunapaq.

nisqa ZXCVFIXVIBESEG12 nisqa

Imaynatataq FixVibe chaypaq pruebakun

nisqa ZXCVFIXVIBESEG13 nisqa FixVibe kunan kayta kawsaq escaneokunapi churan. Pasivo secrets.js-bundle-sweep kikin-origin JavaScript paquetes uraykachin chaymanta riqsisqa API llave, token chaymanta credencial ruwanakuna entropía chaymanta tiyana punkukunawan tupachin. Rimanakuq kawsaq qhawaykuna maskaq waqaychayta, pukyu mapakuna, auth chaymanta BaaS cliente paquetes, chaymanta GitHub repo pukyuta ruwanakuna qhawanku. Git historia kaqmanta qillqayqa allichay llamk'ay hina qhipan; FixVibe kawsaq willakuyqa pakasqakuna apachisqa kaqniyuq kaqpi, maskaq waqaychaypi chaymanta kunan repo kaqninpi kachkan.