FixVibe
Covered by FixVibehigh

API שליסל ליקאַדזש: ריסקס און רעמעדיאַטיאָן אין מאָדערן וועב אַפּפּס

שווער-קאָדעד סיקריץ אין פראָנטענד קאָד אָדער ריפּאַזאַטאָרי געשיכטע לאָזן אַטאַקערז צו ימפּערסאַנייט סערוויסעס, אַקסעס פּריוואַט דאַטן און ינקאָרפּערייט קאָס. דער אַרטיקל קאָווערס די ריסקס פון סוד ליקאַדזש און די נייטיק סטעפּס פֿאַר רייניקונג און פאַרהיטונג.

CWE-798

אימפאקט

ליקינג סיקריץ אַזאַ ווי API שליסלען, טאָקענס אָדער קראַדענטשאַלז קענען פירן צו אַנאָטערייזד אַקסעס צו שפּירעוודיק דאַטן, סערוויס ימפּערסאַניישאַן און באַטייטיק פינאַנציעל אָנווער רעכט צו מיטל זידלען [S1]. אַמאָל אַ סוד איז קאַמיטאַד צו אַ ציבור ריפּאַזאַטאָרי אָדער באַנדאַלד אין אַ פראָנטענד אַפּלאַקיישאַן, עס זאָל זיין גערעכנט ווי קאַמפּראַמייזד [S1].

וואָרצל גרונט

דער וואָרצל סיבה איז די ינקלוזשאַן פון שפּירעוודיק קראַדענטשאַלז גלייַך אין מקור קאָד אָדער קאַנפיגיעריישאַן טעקעס וואָס זענען דערנאָך באגאנגען צו ווערסיע קאָנטראָל אָדער געדינט צו דעם קליענט [S1]. דעוועלאָפּערס אָפט שווער-קאָד קיז פֿאַר קאַנוויניאַנס בעשאַס אַנטוויקלונג אָדער אַקסאַדענאַלי אַרייַננעמען .env טעקעס אין זייער קאַמיץ [S1].

באַטאָנען פיקסיז

  • דרייען קאַמפּראַמייזד סעקרעץ: אויב אַ סוד איז ליקט, עס מוזן זיין ריוואָוקט און ריפּלייסט מיד. פשוט רימוווינג דעם סוד פון די קראַנט ווערסיע פון ​​די קאָד איז ניט גענוגיק ווייַל עס בלייבט אין די ווערסיע קאָנטראָל געשיכטע [S1][S2].
  • ניצן סוויווע וועריאַבאַלז: קראָם סיקריץ אין סוויווע וועריאַבאַלז אלא ווי שווער-קאָודינג זיי. פאַרזיכערן אַז .env טעקעס זענען מוסיף צו .gitignore צו פאַרמייַדן אַקסאַדענטאַל קאַמיץ [S1].
  • ימפּלעמענט סעקרעט מאַנאַגעמענט: ניצן דעדאַקייטאַד געהיים פאַרוואַלטונג מכשירים אָדער וואָלט באַדינונגס צו אַרייַנשפּריצן קראַדענטשאַלז אין די אַפּלאַקיישאַן סוויווע אין רונטימע [S1].
  • רייניקונג ריפּאַזאַטאָרי געשיכטע: אויב אַ סוד איז באגאנגען צו Git, נוצן מכשירים ווי git-filter-repo אָדער די BFG Repo-Cleaner צו פּערמאַנאַנטלי באַזייַטיקן די שפּירעוודיק דאַטן פון אַלע צווייגן און טאַגס אין די ריפּאַזאַטאָרי געשיכטע [S2].

ווי FixVibe טעסץ פֿאַר עס

FixVibe איצט ינקלודז דעם אין לעבן סקאַנז. פּאַסיוו secrets.js-bundle-sweep דאַונלאָודז מיט די זעלבע אָנהייב דזשאַוואַסקריפּט באַנדאַלז און שוועבעלעך באקאנט API שליסל, סימען און קראַדענטשאַל פּאַטערנז מיט ענטראָפּיע און אָרטהאָלדער טויערן. שייַכות לעבן טשעקס דורכקוקן בלעטערער סטאָרידזש, מקור מאַפּס, אָט און BaaS קליענט באַנדאַלז און GitHub רעפּאָ מקור פּאַטערנז. רירייטינג פון גיט געשיכטע בלייבט אַ רעמאַדייישאַן שריט; FixVibe ס לעבן קאַווערידזש פאָוקיסיז אויף סיקריץ פאָרשטעלן אין שיפּט אַסעץ, בלעטערער סטאָרידזש און קראַנט רעפּאָ אינהאַלט.