Το GitHub Archive καταγράφει όλα τα δημόσια commits, συμπεριλαμβανομένων αυτών που διαγράφονται, ως zero-commit PushEvents.
Η χρήση του GitHub Event API και του GH Archive επιτρέπει την εύρεση αυτών των zero-commit γεγονότων που αντιστοιχούν σε διαγραμμένα commits.
Με την αυτοματοποίηση μέσω script και εργαλείων όπως το TruffleHog, είναι εφικτό να ανακτηθούν τα διαγραμμένα commits και να σαρωθούν για διαρροές κωδικών.
Η έρευνα αποκάλυψε μυστικά αξίας περίπου 25.000 δολαρίων μέσω bug bounties από force-push γεγονότα από το 2020.
Η Truffle Security και ο Sharon Brizinov κυκλοφόρησαν το open-source εργαλείο Force Push Scanner για οργανισμούς που θέλουν να ελέγξουν τα δικά τους οργανωτικά commits.
Μια μελέτη περίπτωσης αποκάλυψε ένα GitHub PAT με admin πρόσβαση σε όλα τα repositories του Istio, που θα μπορούσε να προκαλέσει μαζική επίθεση supply-chain.
Η διαγραφή ενός commit δεν εξασφαλίζει ότι το μυστικό αφαιρέθηκε–όλα τα μυστικά πρέπει να θεωρούνται εκτεθειμένα μόλις δεσμευτούν.
Get notified when new stories are published for "🇬🇷 Hacker News Ελληνικά"