Skanowanie ukrytych commitów GitHub

GitHub Archive zapisuje wszystkie publiczne commity, także te usunięte przez force-push jako zero-commit PushEvents.

Force-push cofa historię, ale GitHub nigdy nie usuwa oryginalnych commitów i pozostają one dostępne.

Autor przeskanował wszystkie zdarzenia force-push od 2020 roku i odkrył sekrety warte około 25 000 USD w bounty.

Truffle Security udostępniło narzędzie open-source Force Push Scanner do wyszukiwania ukrytych commitów i ujawnionych sekretów.

Przypadek z tokenem PAT do repozytoriów Istio ukazał ryzyko masowego ataku supply-chain.

Sekrety przekazane do repozytorium należy uznać za skompromitowane i natychmiast je unieważnić.

Get notified when new stories are published for "🇵🇱 Hacker News Polski"

No Sign-In needed. One-Click Subscribe.

•

GitHub Archive zapisuje wszystkie publiczne commity, także te usunięte przez force-push jako zero-commit PushEvents.

Force-push cofa historię, ale GitHub nigdy nie usuwa oryginalnych commitów i pozostają one dostępne.

Autor przeskanował wszystkie zdarzenia force-push od 2020 roku i odkrył sekrety warte około 25 000 USD w bounty.

Truffle Security udostępniło narzędzie open-source Force Push Scanner do wyszukiwania ukrytych commitów i ujawnionych sekretów.

Przypadek z tokenem PAT do repozytoriów Istio ukazał ryzyko masowego ataku supply-chain.

Sekrety przekazane do repozytorium należy uznać za skompromitowane i natychmiast je unieważnić.

Get notified when new stories are published for "🇵🇱 Hacker News Polski"

No Sign-In needed. One-Click Subscribe.