È un difetto di sicurezza per visualizzare la chiave sicura api_key nel file travis.yml del codice sorgente di un'applicazione Web in Github

Question

È un difetto di sicurezza per visualizzare la chiave sicura api_key nel file travis.yml del codice sorgente di un'applicazione Web in Github

#1 da (2 voti)
#2 da (1 voti)

3

Ho lavorato a una revisione del codice di un progetto. Il codice sorgente è pubblicamente disponibile su Github.

Mi sono imbattuto in un file "travis.yml". In quel file, sono in grado di vedere l'api_key sicuro come mostrato nello screenshot.

Credo fermamente che sia un difetto di sicurezza. Tuttavia, non posso provarlo perché non sono sicuro di come un utente malintenzionato possa usare quel api_key.

Quindi per favore fatemi sapere se è un difetto di sicurezza e la giustificazione necessaria per dimostrarlo. Ho sfocato alcuni dettagli nello screenshot per motivi di sicurezza.

github access-control secure-coding penetration-test

posta Sai Dutt Mekala 26.07.2018 - 13:12

fonte

2 risposte

Leggi altre domande sui tag github access-control secure-coding penetration-test

Algoritmo di crittografia simmetrica Come posso richiedere a un browser di rifiutare il certificato MITM proxy per il mio sito web

score 2 · Answer 1

Come la documentazione di Travis CI su variabili di ambiente crittografate note:

Encrypted environment variables are not available to pull requests from forks due to the security risk of exposing such information to unknown code.

[...]

Encryption and decryption keys are tied to the repository. If you fork a project and add it to Travis CI, it will not have access to the encrypted variables.

Questa è una chiave API crittografata ed è progettata per essere inclusa nei file .travis.yml mentre ci si è imbattuti sopra. Solo il repository dell'autore può effettivamente utilizzare quella chiave API crittografata così com'è.

score 1 · Answer 2

Annunciando pubblicamente le tue chiavi API - incluso l'indirizzo email associato! - offri (ab) agli utenti la possibilità di fingere di essere lo sviluppatore legittimo e di utilizzare impropriamente l'API in questione. Ciò potrebbe comportare l'interdizione dell'utente dall'API, danneggiare la tua reputazione o altri problemi più gravi a seconda dell'API in questione.

GitHub stesso ha scritto un post sul blog su questo argomento nel 2013.