URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 136509
[ Назад ]
Исходное сообщение
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в репозиториях"
Отправлено opennews , 03-Апр-25 12:13 
Компания GitHub опубликовала статистику о выявленных в 2024 году утечках конфиденциальных данных, таких как ключи шифрования, пароли к СУБД и токены доступа к API. За год было выявлено более 39 миллионов случаев подобных утечек. GitHub также представил несколько новых инициатив для усиления защиты от утечек: сервисы  "Secret Protection" и "Code Security" теперь доступны в виде отдельных продуктов; для организаций GitHub Team реализованы расширенные инструменты проверки безопасности; обеспечено бесплатное сканирование утечек в проектах организаций...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63013

Содержание
Сообщения в этом обсуждении
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 03-Апр-25 12:13 
Так задумано, какой ещё недосмотр для публичного репозитория.
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 03-Апр-25 13:07 
Разрабы что, про gitignore вообще слыхать не слыхивали?
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено sotlef , 03-Апр-25 13:24 
github это не только для разрабов, там куча студентов сохраняют результаты своих лабораторок, кто-то использует его как файлопомойку. Я к тому, что контингент там разный со всего мира и уровень их квалификации сомнительный.
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 03-Апр-25 13:39 
не поможет. Обычно пишут API ключ во время тестирования прямо в код и потом выносят его в .ENV а в истории он все равно сохраняется.
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Соль земли , 03-Апр-25 13:42 
Странно, я вроде 40 млн выкладывал.
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 03-Апр-25 13:50 
Зачем хранить ключи, пароли и токены в репозитории? Что такая проблема подтянуть все из внешней директории?
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено нах. , 03-Апр-25 23:04 
Оно само!

"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 03-Апр-25 23:31 
Чтобы прога могла стартануть без корректного config.ini - придётся задать какие-то дефолты прямо в коде. Или чтобы тесты нормально отработали.
Это правда должен быть не access_token и не пароль от "боевого" сервера СУБД.
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 04-Апр-25 07:17 
> Чтобы прога могла стартануть без корректного config.ini

Единственное, что должна сделать прога без корректного конфига, - выругаться на конфиг и выйти.

"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 06-Апр-25 20:30 
Звонили девяностые, искали тебя, просили вернуть идейки обратно. Разумные дефолты — лучше, что случилось с софтом с тех пор.
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Anonim , 11-Апр-25 13:09 
Программа должна предупредить, что пользовательского конфига нету, предложить загрузить дефолтный или безопасный. Попросить нажать F1 на клавиатуре ;-)
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Ося Бендер , 03-Апр-25 13:52 
Билли со Стивом денежку захотели. Поиздержались наверно. Типо "заботятся", бесплатно чего-то там сканируют.
Ага, знаем, плавали. Потом будут бабосики стричь. Бузинес, ничего лишнего.
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Дмитрий , 04-Апр-25 05:15 
Это любой может сканировать у них даже api есть.
У нас в криптопроекте бабло как то украли. Случайно закомитили приватный кюч, прошло всего 15 мин и деньги уткли.
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 03-Апр-25 13:53 
Они извещают, тех кто оставил персональную информацию или просто для АНБ стараются.
Смысл траты электричества какой? Ну не для того же, чтобы раз в год блеснуть.
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 03-Апр-25 13:56 
Что лишний раз подтверждает, что гитхаб - это прежде всего хостинг хеловордов от гордых Васянов. Гитхабу надо сделать таксу рублей так 5 в месяц, чтобы отсеить хеловортщиков, и чтобы остались денежные клиенты, чтобы халявщики не спамили попусту туда пароли. Вот так то.
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено blkkid , 03-Апр-25 22:12 
у анонимов кроме "запретить" и "на мороз выкинуть" хоть какие-то решения ещё бывают?
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 04-Апр-25 02:51 
сразу видно, что мороза ты не видел
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Дмитрий , 04-Апр-25 05:18 
Ага, научи микрософт как им вести бизнес ))))
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 03-Апр-25 15:20 
А всё почему? Потому что в каждой второй статье для начинающих по гиту пишут такое:
git add .
git commit -m "message"

Руки отрывать тому кто так учит начинающих. Учите их пользоваться нормальными UI утилитами, в которых видно что и куда ты коммитаешь.

"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Ося Бендер , 03-Апр-25 15:27 
Ага, а откуда потом хакиры будут пароли ко всяким базам брать? Все правильно учат.
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Василий , 04-Апр-25 06:42 
`git add -p bd-connectilor.petuhon` - добавить изменения по частям
`git diff --cached` - посмотреть дифф перед коммитом
`git reset --soft commit_before_wip_changes_sha && git commit ...` - удалить неудачные попытки из истории и закоммитить конечный результат перед пушем
`git rebase --interactive commit_before_fuckup_sha && git commit --amend file-w-fuckup && git rebase --continue` - изменить коммит в истории
Ну и
`git show` - посмотреть что ты там поменял в последнем коммите

Не знаю гуёв, которые могут больше, чем эти команды. Лучше сразу приучать консолью пользоваться

"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 03-Апр-25 16:59 
В комментариях все такие молодцы, никогда не допускают ошибок, не хелловторщики ж какие-то! Даже завидно немного. Сам-то я хоть и админил 20+ лет, а бывало, что и бесконечный цикл писал, и лимит рекурсии исчерпывал, и токены по запаре бывало тоже коммитил, и даже прод ронял в пятницу вечером. То ли я бракованный у папы с мамой вышел, то ли прав был мой дед, когда говорил что ошибок не бывает только у тех, кто ничего не делает.
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 03-Апр-25 18:20 
> то ли прав был мой дед

то ли вы занимались вовсе не тем делом, куда админить, и куда - "бесконечный цикл писал, и лимит рекурсии исчерпывал".

> То ли я бракованный

девжопс одним словом.

"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 03-Апр-25 19:29 
> то ли вы занимались вовсе не тем делом

Ну если бы он ток админил, тогда прод ронял был.
Если бы программировал - "бесконечный цикл писал, и лимит рекурсии исчерпывал".

И т.д.

"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 04-Апр-25 02:38 
Эникеям и админам локалхостов невдомёк почему на позиции сисадминов нужны только те, кто умеет программировать и может кодить хотя бы на паре языков, в довесок ко всему остальному стэку технологий. Ну что ж, картриджи тоже надо кому-то трясти.
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним9000 , 05-Апр-25 21:46 
Это просто у вас с самооценкой всё в порядке и вы можете признать, что совершаете ошибки. Некоторым сложно признать, что они не идеальны
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 03-Апр-25 22:36 
> файлы конфигурации с паролями к СУБД

Это мой пароль SYSDBA/masterkey?

> а также прописанные в коде токены или ключи доступа к API

Ну апупеть просто... многие из этих ключей/токенов часто и не являются секретными и всё равно придётся их включить в исполняемый файл/на страницу и т.д.
Нужен был api-key от google-maps и первая попавшаяся страница с картой проезда в ООО "Рога И Копыта" спасла от необходимости регить ненужный сервис ради трёх запросов.


Хоть сотня чего-нибудь вменяемого в 39 миллионах найдётся?

"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 03-Апр-25 22:44 
Придётся проверить все 39 миллионов. Уверен, ты справишься, ради таких-то сокровищ! Не забудь написать когда пройдёшь первые 20 миллионов.
"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 03-Апр-25 22:46 
> Уверен, ты справишься

Уверен, что там даже и не утечка секретных данных. Перечитай на что отвечал...

"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено нах. , 03-Апр-25 23:08 
Не, ну токены для доступа к ентер-прайсному документообороту это вот как ты думаешь - секретное данное или погулять вышло? А оно - вотъ!

"В 2024 году GitHub выявил 39 млн утечек ключей и паролей в р..."
Отправлено Аноним , 04-Апр-25 12:26 
> Придётся проверить все 39 миллионов

А вот как раз одновременно с выпуском закона о штрафах за утечки данных.