Команда безопасности GitLab знает о блоге Sysdig, в котором описывается, как злоумышленники сканируют публичные репозитории для обнаружения открытых учетных данных в файлах конфигурации Git. Чтобы предотвратить непреднамеренные утечки учетных данных, GitLab рекомендует несколько лучших практик для укрепления публичных проектов GitLab. Одна из рекомендуемых практик - ограничить публичную видимость групп и проектов GitLab, установив по умолчанию приватность для новых проектов и групп. Это может помочь предотвратить случайное раскрытие информации в публичном проекте, который был предназначен для частного использования. Другая рекомендуемая практика - обеспечить безопасность секретов CI, храня их в защищенном виде с помощью технологий контейнеров шифрования, таких как GCP Secret Manager, AWS KMS и HashiCorp Vault. GitLab также рекомендует использовать свои возможности обнаружения секретов для идентификации, блокировки или предупреждения пользователей о потенциальных секретах, хранящихся в репозиториях GitLab. Все доступные методы обнаружения секретов должны быть включены, включая защиту от пуш-секретов, обнаружение секретов в конвейерах и клиент-сайд обнаружение секретов. Если происходит случайное раскрытие секрета, тоExposed учетные данные должны быть сброшены, и журналы доступа должны быть просмотрены для поиска доказательств злоупотребления или злоупотребления учетными данными. Кроме того, если утечка секрета была токеном доступа GitLab или другим типом секретного токена, то он должен быть отозван, и журналы GitLab должны быть просмотрены для любых неавторизованных действий, связанных с утечкой токена. Следуя этим лучшим практикам, пользователи могут помочь предотвратить непреднамеренные утечки своих учетных данных в файлах конфигурации Git или в других местах публичных проектов.