삭제된 깃허브 커밋에서 비밀 찾기

GitHub은 force push로 삭제된 커밋도 zero-commit PushEvents 형태로 영구 보관한다.

GH Archive와 GitHub Event API를 활용해 2020년 이후 모든 zero-commit 이벤트를 스캔할 수 있다.

새로운 오픈소스 도구 Force Push Scanner를 통해 조직 내 숨은 커밋을 자동으로 검색할 수 있다.

자동화 스캔으로 수천 개의 액티브 시크릿을 발견해 약 2만5천 달러 상당의 보상을 획득했다.

주요 사례로 Istio 저장소 관리자 토큰을 찾아 대규모 공급망 공격을 방지했다.

삭제된 커밋에 노출된 비밀은 즉시 폐기 및 재발급해야 한다.

Get notified when new stories are published for "🇰🇷 Hacker News 한국어"

No Sign-In needed. One-Click Subscribe.

•

GitHub은 force push로 삭제된 커밋도 zero-commit PushEvents 형태로 영구 보관한다.

GH Archive와 GitHub Event API를 활용해 2020년 이후 모든 zero-commit 이벤트를 스캔할 수 있다.

새로운 오픈소스 도구 Force Push Scanner를 통해 조직 내 숨은 커밋을 자동으로 검색할 수 있다.

자동화 스캔으로 수천 개의 액티브 시크릿을 발견해 약 2만5천 달러 상당의 보상을 획득했다.

주요 사례로 Istio 저장소 관리자 토큰을 찾아 대규모 공급망 공격을 방지했다.

삭제된 커밋에 노출된 비밀은 즉시 폐기 및 재발급해야 한다.

Get notified when new stories are published for "🇰🇷 Hacker News 한국어"

No Sign-In needed. One-Click Subscribe.