Das GitLab-Sicherheitsteam ist sich eines Blog-Beitrags von Sysdig bewusst, der beschreibt, wie Angreifer öffentliche Repositorys scannen, um exponierte Anmeldedaten in Git-Konfigurationsdateien zu identifizieren. Um unbeabsichtigte Lecks von Anmeldedaten zu vermeiden, empfiehlt GitLab mehrere Best Practices für die Absicherung öffentlicher GitLab-Projekte. Eine empfohlene Praxis ist, die öffentliche Sichtbarkeit von GitLab-Gruppen und -Projekten durch Festlegen der Standard-Sichtbarkeit für neue Projekte und Gruppen auf privat zu beschränken. Dies kann helfen, unbeabsichtigte Offenlegung von Informationen in einem öffentlichen Projekt zu vermeiden, das ursprünglich privat sein sollte. Eine weitere empfohlene Praxis ist, CI-Geheimnisse durch sichere Speicherung mithilfe von Verschlüsselungstechnologien wie GCP Secret Manager, AWS KMS und HashiCorp Vault zu schützen. GitLab empfiehlt auch, seine Geheimnis-Erkennungsfähigkeiten zu nutzen, um potenzielle Geheimnisse in GitLab-Repositorys zu identifizieren, zu blockieren oder Benutzern vor möglichen Geheimnissen zu warnen. Alle verfügbaren Geheimnis-Erkennungsmethoden sollten aktiviert werden, einschließlich des Schutzes vor Geheimnis-Push, der Pipeline-Geheimnis-Erkennung und der clientseitigen Geheimnis-Erkennung. Wenn ein unbeabsichtigtes Geheimnis-Leck auftritt, sollte das exponierte Anmeldedatum zurückgesetzt und die Zugriffsprotokolle auf Beweise für Missbrauch oder Missbrauch von Anmeldedaten überprüft werden. Darüber hinaus sollte, wenn das geleakte Geheimnis ein GitLab-Personal-Access-Token oder ein anderer Geheimnis-Token-Typ war, dieser widerrufen und die GitLab-Protokolle auf jede unbefugte Aktivität im Zusammenhang mit dem exponierten Token überprüft werden. Durch die Einhaltung dieser Best Practices können Benutzer helfen, unbeabsichtigte Lecks ihrer Anmeldedaten in Git-Konfigurationsdateien oder anderswo in öffentlichen Projekten zu vermeiden.