Điều gì xảy ra khi bạn tải secret key lên repo công khai

Sắp xếp theo trình tự thời gian dựa trên kết quả thử nghiệm thực tế với GitHub và GitLab

1. Commit khóa AWS lên GitHub

2. Sau 7 phút, nhận cảnh báo rò rỉ từ GitGuardian

3. Sau 11 phút, token bị xâm phạm (compromised, đã bị lộ nên không còn an toàn nữa)

4. Trong 2 giờ, có 5 cảnh báo truy cập từ Đức/Hà Lan/Anh/Ukraine, v.v.

5. GitHub gửi email cảnh báo về các phụ thuộc dễ tổn thương (Vulnerable Dependencies)

6. Commit lên GitLab

7. Sau 62 phút, token được sử dụng lần đầu và cũng là lần cuối tại Pháp

8. Không nhận được bất kỳ cảnh báo bảo mật nào từ GitLab (chỉ cung cấp cảnh báo bảo mật cho người dùng Gold/Ultimate)

Bài học rút ra

0. Có nhiều nơi quét GitHub hơn GitLab

1. Nếu đang dùng GitHub, hãy thử tìm hiểu dịch vụ GitGuardian

2. Nếu đang dùng GitLab, hãy cân nhắc nâng cấp lên Gold/Ultimate

3. Để ngăn rò rỉ từ trước, hãy dùng Talisman (pre-commit hook)

4. Để kiểm tra sau đó xem có bị rò rỉ hay không, hãy cân nhắc triển khai GitLeaks