当前位置: 首页
科技数码
公共仓库泄密风险:1.7万密钥暴露,GitLab安全漏洞与数据库凭证防护

公共仓库泄密风险:1.7万密钥暴露,GitLab安全漏洞与数据库凭证防护

热心网友 时间:2025-12-01
转载

11月29日,Truffle Security安全工程师在GitLab Cloud平台上扫描了约560万个公共代码仓库,发现其中竟有17,430条有效密钥仍在泄露,波及2,804个独立域名,涵盖云服务、数据库和各类API凭据等敏感信息。他也因此获得了超过9000美元(约合63748元人民币)的漏洞奖金。

公共仓库扫出 1.7 万条有效密钥:安全工程师发现 GitLab 大规模泄密,GCP 与数据库凭据暴露最严重

这项研究由安全工程师Luke Marshall主导,并通过Truffle Security的研究计划发布。他此前也对Bitbucket与Common Crawl数据集进行过类似检查,分别发现了6,212条和12,000条有效密钥。Luke长期关注开源生态系统中的密钥泄露问题,此前曾在NPM、PyPI中发现过类似情况。

GitLab于2011年正式问世,是三大主流Git托管服务之一。虽然它发布最晚,但其公开仓库数量几乎是Bitbucket的两倍。与GitHub、Bitbucket一样,由于Git记录会长期保留历史提交,平台又托管着数百万公开项目,因此更容易出现开发者误提交密钥的情况。

公共仓库扫出 1.7 万条有效密钥:安全工程师发现 GitLab 大规模泄密,GCP 与数据库凭据暴露最严重

▲ 机翻截图

Luke Marshall使用了Truffle Security开源软件,通过GitLab的公共API枚举所有公共仓库,并使用自编的Python脚本分页获取结果。整个过程在约24小时内完成,云端总成本约为770美元。

Marshall共发现了17,430条可验证且仍可使用的密钥,数量约为其Bitbucket扫描结果的三倍,库密度(每仓库暴露的密钥数量)也高出35%。

据报告介绍,泄露的密钥大多数是2018年之后生成的,甚至包括可追溯到2009年且至今仍有效的密钥(早于GitLab的发布日期,推测为从其他平台迁入时带入)。

公共仓库扫出 1.7 万条有效密钥:安全工程师发现 GitLab 大规模泄密,GCP 与数据库凭据暴露最严重

公共仓库扫出 1.7 万条有效密钥:安全工程师发现 GitLab 大规模泄密,GCP 与数据库凭据暴露最严重

在暴露的密钥中,Google Cloud Platform(GCP)凭证是最常见的类别,平均每约1060个仓库中就会出现一组有效GCP密钥,总数超过5,200条;其次是MongoDB密钥、Telegram机器人令牌和OpenAI密钥。

公共仓库扫出 1.7 万条有效密钥:安全工程师发现 GitLab 大规模泄密,GCP 与数据库凭据暴露最严重

另外,此次研究还观察到显著的“平台本地性”:在GitLab上发现了406组有效GitLab密钥,而在Bitbucket上仅出现16组,说明开发者更容易在使用某个平台时误提交该平台的访问凭证。

为加速后续的漏洞披露流程,他使用可联网搜索的Claude Sonnet 3.7分析每个域名的最佳安全报告渠道,并额外编写脚本生成披露邮件,最终向120余个组织报告了泄露情况,并另外与30多家SaaS服务提供商合作,协助处理客户凭证暴露问题。

Marshall表示,许多组织已在收到通知后撤销其暴露的密钥,但仍有部分凭据继续在GitLab上公开暴露。

来源:https://www.ithome.com/0/901/172.htm

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
谷歌升级Google Cloud机密计算产品

谷歌升级Google Cloud机密计算产品

IT之家 7 月 6 日消息,谷歌宣布对旗下 Google Cloud 机密计算(Confidential Computing)产品进行升级,新增基于英伟达 Blackwell GPU 的机密虚拟机、开源 AI 提示词加密工具 Prompt Encryption SDK,同步升级 Confident

时间:2026-07-07 14:57
谷歌要放大招? Gemini 3.5 Pro传7月17日发布,前端碾压Fable 5

谷歌要放大招? Gemini 3.5 Pro传7月17日发布,前端碾压Fable 5

谷歌在大模型竞赛中憋出一张重磅底牌。据泄露信息,Gemini 3 5 Pro将于7月17日正式发布,其前端与视觉代码生成能力据称出现跨越式跃升,在多项测试中压制Anthropic的Fable 5,但在硬核推理与复杂工程任务上仍落后于对手。这款姗姗来迟的旗舰模型背后,是一次更为彻底的技术重构。据科技媒

时间:2026-07-07 14:45
年电池续航最长的荣耀手机别错过

年电池续航最长的荣耀手机别错过

在挑选2026年电池续航最长的手机时,许多人关注的不仅仅是实验室测试中的几分钟优势,更看重一天高强度使用后还能剩下多少电量。按照这个标准来看,荣耀X80 Pro Max确实很有代表性,它将大容量电池与真实日常场景紧密结合,是该需求下非常值得优先考虑的一款机型。荣耀X80 Pro Max直接搭载了一块

时间:2026-07-07 12:52
年高性价比手机推荐 同预算选机更看重长期体验

年高性价比手机推荐 同预算选机更看重长期体验

在2026年性价比高的手机推荐榜单中,同价位机型往往更看重长期使用的综合体验。如果仅仅追求低价,很容易忽视续航、耐用性、屏幕素质与通信质量这些日常高频使用的核心维度。荣耀X80 Pro Max的主要竞争力,在于将11000mAh超大电池、军工级防护、万级亮度屏幕以及AI智能体验,全部集成到2000元

时间:2026-07-07 12:52
小米17系列销量超550万台 Ultra版约23.07万部

小米17系列销量超550万台 Ultra版约23.07万部

探讨小米17系列最新销量表现。据数码博主曝光的行业追踪数据,截至2026年第26周(即6月22日至6月28日),小米17系列全系累计销量已成功突破550万台大关。 具体数据方面,系列总销量约为554 01万台。其中,定位顶配的小米17 Ultra贡献了约23 07万部。值得关注的是,面向中端市场的1

时间:2026-07-07 12:52
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 日榜
  • 周榜
  • 月榜