GitLabのセキュリティチームは、Sysdigのブログ投稿に気づいています。この投稿では、攻撃者がパブリックリポジトリをスキャンしてGit configファイル内の公開された資格情報を特定する方法について説明しています。資格情報の意図しない漏えいを防ぐために、GitLabはパブリックGitLabプロジェクトの強化のためのいくつかのベストプラクティスを推奨しています。推奨されるプラクティスの1つは、デフォルトの可視性をプライベートに設定することで、GitLabグループとプロジェクトのパブリック可視性を制限することです。これにより、意図せずにパブリックプロジェクトで機密情報が公開されることを防ぐことができます。別の推奨されるプラクティスは、GCP Secret Manager、AWS KMS、HashiCorp Vaultなどの暗号化コンテナ技術を使用して、CIシークレットを安全に保管することです。GitLabはまた、GitLabリポジトリ内の潜在的なシークレットを特定、ブロック、または警告するために、シークレット検出機能を活用することを推奨しています。シークレット検出方法のすべてを有効にする必要があります。シークレットプッシュ保護、パイプラインシークレット検出、クライアント側シークレット検出などです。意図しないシークレット漏えいが発生した場合、公開された資格情報をリセットし、資格情報の不正使用または悪用の証拠を探すためにアクセスログを確認する必要があります。さらに、漏れたシークレットがGitLabのパーソナルアクセストークンまたはその他のシークレットトークンタイプだった場合、トークンを取り消し、GitLabのログを確認して、公開されたトークンに関連する不正なアクティビティがないかを確認する必要があります。これらのベストプラクティスに従うことで、ユーザーはGit configファイルまたはパブリックプロジェクト内の他の場所で意図しない資格情報漏えいを防ぐことができます。