V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
plusDiscuss
V2EX  ›  分享发现

网爆 github 私有库泄露,公司老板问要不要迁移?

  •  1
     
  •   plusDiscuss · 2020-05-10 11:03:12 +08:00 via Android · 5544 次点击
    这是一个创建于 1688 天前的主题,其中的信息可能已经有所发展或是发生改变。
    爆出来的信息是 2020 年 3 月 28 日入侵的,这私有库里可是各种密钥都有。公司老板看了消息问要不要改密钥、然后迁移代码哭。 怎么知道这次泄露的面积?
    17 条回复    2020-05-11 13:06:41 +08:00
    araaaa
        1
    araaaa  
       2020-05-10 11:11:51 +08:00 via iPhone
    干脆就你们自己内网搭一个呗
    cabing
        2
    cabing  
       2020-05-10 11:14:56 +08:00
    内网 gitlab
    MrGba2z
        3
    MrGba2z  
       2020-05-10 11:15:07 +08:00
    搜到的信息是微软的私有库被拖

    贵司微软?
    loading
        4
    loading  
       2020-05-10 11:18:19 +08:00 via Android
    居然不是马上修改里面所有密钥相关的东西?
    plusDiscuss
        5
    plusDiscuss  
    OP
       2020-05-10 11:21:52 +08:00 via Android
    @MrGba2z 不是,因为不清楚泄露面积,所以不知道风险有多大。
    MrGba2z
        6
    MrGba2z  
       2020-05-10 11:22:57 +08:00
    @plusDiscuss
    新闻说的是微软员工账号被 hack 导致被拖
    如果这个没错的话, 那应该是不会影响别的库
    Procumbens
        7
    Procumbens  
       2020-05-10 11:27:05 +08:00
    https://www.zdnet.com/article/hacker-gains-access-to-a-small-number-of-microsofts-private-github-repos/

    https://www.bleepingcomputer.com/news/security/microsofts-github-account-hacked-private-repositories-stolen/

    看新闻是 hack 了一位微软员工,从而得到了部分微软 private repo 的共计 500GB 的内容

    The only sensitive issue might be that some projects could contain access tokens and API credentials that may now have to be revoked.

    不必太担心
    whileFalse
        8
    whileFalse  
       2020-05-10 11:52:26 +08:00   ❤️ 1
    把密钥丢库里不符合最佳实践。
    bequt
        9
    bequt  
       2020-05-10 12:07:01 +08:00   ❤️ 1
    基本安全性都是一样的,本地也有风险(第一崩了,第二被盗),云端也有风险(被盗+)。
    Qusic
        10
    Qusic  
       2020-05-10 12:54:28 +08:00 via iPhone
    管理好密钥就够了 感觉上常规的软件公司互联网公司的大部分代码都不值钱吧,泄漏了也不能怎么样(🐶
    Sapp
        11
    Sapp  
       2020-05-10 13:05:52 +08:00
    上次 🍺🍐🍺🍐 那个人抓到了吗
    zachlhb
        12
    zachlhb  
       2020-05-10 13:54:18 +08:00 via Android
    密钥什么的为什么要同步 Git ?
    ryh
        13
    ryh  
       2020-05-10 14:01:26 +08:00
    就算是私有库,token 之类不应该 gitignore 么
    Devilker
        14
    Devilker  
       2020-05-10 14:01:50 +08:00
    泄露没泄露你们用的那部分储存服务器,也得首先修改密钥。
    xinple
        15
    xinple  
       2020-05-11 11:00:16 +08:00
    不管公有私有库,密钥之类的绝不放在库里。
    Ryzebo
        16
    Ryzebo  
       2020-05-11 11:35:48 +08:00
    内网 gitlab 很香啊
    killerv
        17
    killerv  
       2020-05-11 13:06:41 +08:00
    - 秘钥不应该上传到 Git
    - 公司最好自己搭建 Gitlab
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5382 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 07:25 · PVG 15:25 · LAX 23:25 · JFK 02:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.