Cosa devo fare quando trovo informazioni sensibili nel controllo di versione?

4

Oggi ho trovato quella che sembrava essere la password del mio supervisore in qualche codice nel controllo della versione. La password è in un database. Ha molta esperienza e ha spiegato prima di come evitare di avere password nel codice sorgente.

Come dovrei gestire questa situazione? Esiste una best practice sulla conservazione delle prove di un difetto di sicurezza o dovrei rimuovere tali dati non appena lo vedo?

Anche se rimuovo i dati nella revisione corrente, c'è ancora la cronologia delle revisioni. Dovrei semplicemente avvisare il mio supervisore?

    
posta Lyndon White 08.02.2012 - 15:36
fonte

2 risposte

3

Tutti i sistemi di controllo delle versioni di cui sono a conoscenza hanno una qualche forma di funzionalità "obliterata" che consente di rimuovere i dati in modo permanente. Normalmente non è qualcosa che si vuole fare alla leggera poiché inevitabilmente implica la riscrittura della cronologia. La maggior parte dei sistemi di controllo delle versioni limita di fatto questa capacità agli amministratori o almeno agli utenti con accesso diretto al repository centrale. In un sistema di controllo delle versioni distribuite come git, questo è complicato dal fatto che molte persone potrebbero avere cloni del repository e quindi copie dei dati sensibili. Se non puoi garantire che tutte le copie siano state distrutte, hai un problema.

Qualche consiglio generale da un SCM pro: per questioni di politica, non userò alcun equivalente "obliterato" se non richiesto dal dipartimento legale della compagnia. Questo perché, come ho detto, si sta riscrivendo la cronologia e la cronologia del codice nel repository può essere considerata prova legale in alcuni casi. Probabilmente mi consiglia di non rimuovere una password in quanto è possibile modificare una password.

Nel tuo caso particolare, ti consiglio vivamente di non fare nulla senza parlare con il tuo supervisore, anche se hai l'accesso o le conoscenze per rimuovere la password. Fare confusione con la cronologia nel tuo repository non è qualcosa che dovresti fare con la tua stessa autorità.

    
risposta data 09.02.2012 - 07:05
fonte
0

Rimuovi il riferimento dal codice, poiché non è sicuro.

Comunicagli che la sua password corrente è stata compromessa elencando il motivo.

Invitali a cambiarlo e a dire a tutti che codifica questo non dovrebbe mai succedere di nuovo.

    
risposta data 09.02.2012 - 08:20
fonte

Leggi altre domande sui tag