源代码平台安全使用建议
源代码平台是用来托管代码程序的地方,开发者可以将自己的代码放到源代码平台中进行版本管理,协作开发,共享代码等操作。当前主流的源代码平台有GitHub、GitLab、Bitbucket等。
代码开源共享促进了开发者的学习和交流,也成为了开发者的一大主流价值观。大家越来越愿意把自己写好的代码和项目提交到源代码平台上供他人参考和学习,然而在提交的过程中,很可能就无意识地把一些代码中的敏感信息和文件一并共享了出来。
源代码平台会泄漏什么?
1
帐号密码泄漏
泄漏的帐号密码通常是被直接写入在代码、配置文件或日志文件中,并被提交到源代码平台。在源代码平台是公开的情况下,这些帐号密码可以被任何人看到。
通过搜索域名、数据库名称、文件名等关键词,可以找到存在帐号密码泄漏的源代码项目。下图展示了邮件代码中泄漏的jAccount帐号密码。
2
个人信息泄露
我们可能会在源代码平台上托管个人网站,在网站中展示个人介绍或者简历。如下图的简历网页泄漏了邮箱、手机号和个人证件照片。
简历往往包含了我们的姓名、电话、微信号、邮箱,还可能有生日、学历、院校、工作经历、所在城市等。一旦泄露将会造成垃圾短信、骚扰电话、垃圾邮件源源不断。
3
平台凭证密钥泄漏
个人登录凭证或云服务器、云数据库密钥泄漏,可能被别人非法登录、窃取数据、恶意删库。
安全建议
在使用源代码平台时,我们需要时刻注意保护自己的代码和信息安全,检查代码中的敏感信息并加密或删除,避免在公开源代码项目下暴露个人信息。那么如何保护个人信息安全呢?交小网在这里提供一份源代码平台安全使用建议,供大家参考。
1
勿将凭据和密码存储在公开仓库上
可使用系统变量或配置系统来存储账号密码、数据库IP地址、AccessKey、登录Cookie等敏感信息。
2
删除文件中的敏感数据
和源代码平台历史记录
立刻删除存储库中敏感数据和凭证,同时修改密码更换令牌。
由于源代码平台会保留所有提交的完整历史记录,包括敏感信息的变更日志。如果项目中包含敏感信息请及时删除历史提交记录,保障源代码项目的信息安全。
有关详细信息,可以参阅官方文档(以GitHub为例):
https://docs.GitHub.com/en/authentication/keeping-your-account-and-data-secure/removing-sensitive-data-from-a-repository
3
访问控制
为了保护敏感信息不被意外泄露,建议在团队或个人创建代码项目时优先考虑私有代码仓库,目前GitHub和GitLab均提供免费私有代码仓库
#推荐阅读
1、第五届 SJTU CTF 网络安全技术挑战赛,等你来战~
责任编辑:尹守婷