GitLab 보안 팀은 Sysdig의 블로그 게시물에서 공용 저장소에서 Git 구성 파일에 노출된 자격 증명을 식별하기 위해 공격자가 스캔하는 방법에 대해 알고 있습니다. 자격 증명의 의도하지 않은 누출을 방지하기 위해 GitLab는 공용 GitLab 프로젝트를 강화하기 위한 몇 가지 모범 사례를 권장합니다. 권장되는 모범 사례 중 하나는 새 프로젝트와 그룹의 기본 가시성을 비공개로 설정하여 GitLab 그룹과 프로젝트의 공용 가시성을 제한하는 것입니다. 이는 의도하지 않게 공용 프로젝트에서 정보가 누출되는 것을 방지하는 데 도움이 될 수 있습니다. 또 다른 모범 사례는 GCP Secret Manager, AWS KMS 및 HashiCorp Vault와 같은 암호화 컨테이너 기술을 사용하여 CI 비밀을 안전하게 저장하는 것입니다. GitLab는 또한 비밀 감지 기능을 사용하여 GitLab 저장소에 저장된 잠재적인 비밀을 식별, 차단 또는 경고하는 것을 권장합니다. 모든 사용 가능한 비밀 감지 방법을 활성화해야 하며, 이는 비밀 푸시 보호, 파이프라인 비밀 감지 및 클라이언트 측 비밀 감지 등을 포함합니다. 의도하지 않은 비밀 노출이 발생할 경우, 노출된 자격 증명은 재설정되어야 하며, 자격 증명의 오남용 또는 악용에 대한 증거를 확인하기 위해 액세스 로그를 검토해야 합니다. 또한, 누출된 비밀이 GitLab 개인 액세스 토큰 또는 기타 비밀 토큰 유형인 경우, 이를 취소하고 GitLab 로그를 검토하여 노출된 토큰과 관련된 모든 비인가 활동을 확인해야 합니다. 이러한 모범 사례를 따르면 사용자는 Git 구성 파일 또는 공용 프로젝트의 다른 곳에서 자격 증명의 의도하지 않은 누출을 방지할 수 있습니다.