Публичные репозитории GitLab раскрыли более 17 000 секретов
habr.comВ публичных репозиториях GitLab оказалось более 17 000 секретов — ключей API, токенов, паролей и другой личной информации. Инженер по безопасности Люк Маршалл просканировал все 5,6 млн публичных репозиториев GitLab Cloud с помощью опенсорс-утилиты TruffleHog и выявил 17 430 секретов в более чем 2800 доменах.Маршалл использовал публичный API GitLab, собственный Python-скрипт для постраничного просмотра и AWS-сервисы — Simple Queue Service (SQS) и Lambda.
При помощи TruffleHog он проверил код в репозиториях на наличие конфиденциальных учётных данных, таких как ключи API, пароли и токены.Плотность секретов в GitLab оказалась на 35% выше, чем в Bitbucket, который Маршалл исследовал ранее (6212 секретов в 2,6 миллиона репозиториев).
