Токены доступа и популярная автоматизация
Практический пример того, как автоматизация процессов работы с исходным кодом и репозиториями (читать нужно: CI/CD) может легко и неожиданно “выйти боком”: токен с правами полного доступа к репозиториям Python и PyPI на GitHub долгое время находился в открытом доступе.
Разбор инцидента из первых рук позволяет понять, как так вышло: наружу отправился локальный файл .pyc, случайно оставшийся в локальной (общей для процесса сборки) директории, которая требовалась для работы приложения в Docker-контейнере; ну и не менее случайно – в этом .pyc-файле сохранился токен доступа.
Адрес записки: https://dxdt.ru/2024/07/12/13350/
Похожие записки:
- ИИ с перебором
- Морфологический переворот как инструмент в "тесте Тьюринга"
- Новые корневые сертификаты на audit.statdom.ru
- Браузеры и перехват TLS без участия УЦ
- Многобайтовые постквантовые ключи и TLS
- Теги ключей DNSSEC: продолжение
- Детектирование текстов, сгенерированных ИИ
- DARPA и "недетерминированные" системы на борту
- Компиляторы и ассемблер
- Подводные кабели и связность Интернета
- Боты и dxdt.ru
Написать комментарий