L'équipe de sécurité de GitLab est consciente d'un article de blog de Sysdig qui décrit comment les attaquants scannent les dépôts publics pour identifier les informations d'identification exposées dans les fichiers de configuration Git. Pour prévenir les fuites involontaires d'informations d'identification, GitLab recommande plusieurs bonnes pratiques pour renforcer la sécurité des projets GitLab publics. L'une des pratiques recommandées consiste à limiter la visibilité publique des groupes et des projets GitLab en définissant la visibilité par défaut pour les nouveaux projets et groupes sur privé. Cela peut aider à prévenir la divulgation accidentelle d'informations dans un projet public qui était destiné à être privé. Une autre pratique recommandée consiste à sécuriser les secrets de l'intégration continue en les stockant de manière sécurisée à l'aide de technologies de conteneurs de chiffrement, telles que GCP Secret Manager, AWS KMS et HashiCorp Vault. GitLab recommande également d'utiliser ses capacités de détection de secrets pour identifier, bloquer ou avertir les utilisateurs de secrets potentiels stockés dans les dépôts GitLab. Toutes les méthodes de détection de secrets disponibles doivent être activées, notamment la protection des pushes de secrets, la détection de secrets dans les pipelines et la détection de secrets côté client. Si une exposition de secret accidentelle se produit, le secret exposé doit être réinitialisé et les journaux d'accès examinés pour détecter tout usage abusif ou mauvais des informations d'identification. De plus, si le secret divulgué était un jeton d'accès personnel GitLab ou autre type de jeton secret, il doit être révoqué et les journaux GitLab examinés pour toute activité non autorisée associée au jeton exposé. En suivant ces bonnes pratiques, les utilisateurs peuvent aider à prévenir les fuites involontaires de leurs informations d'identification dans les fichiers de configuration Git ou ailleurs dans les projets publics.