Advent Calendar day 7 担当の vvakame です。 予告では Apollo Federation Gateway Node.js実装についてポイント解説 としていましたが、社内各所のご協力によりAdvent Calendarの私の担当日に間に合う形で公開できる運びとなりました。そのため告知とは異なりますが GitHub上のsensitive data削除の手順と道のり をお届けしていきたいと思います。 メルペイVPoE hidekによるday 1の記事で振り返りがあったように、今年、弊社ではCodecovのBash Uploaderに係る情報流出という事案が発生しました。当該インシデント対応において、プレスリリースにも記載のある通り、ソースコード上に混入してしまった認証情報や一部個人情報などの機密性の高い情報(sensitive data)について調査を実施し、対応
備忘録です 2019/03/09 15:00 - @tetsukay さん @shibukk さんのコメントを反映しました やらかした!! GitHubなどで、TwitterのpasswordやAWSなどのSECRET_KEYが含まれたプロジェクトを管理する際、.gitignoreをちゃんと指定してやらないとgitのcommit履歴などにそのSECRET_KEYなどの値が残ってしまいます。 こういったミスでSECRET_KEYなどが流出するとセキュリティインシデントに繋がりますね。 この記事では一番最悪な「SECRET_KEYなどがcommitされた履歴がpushされてしまった」という事態の対策として、「git上での履歴の削除方法」と「リモートリポジトリ上の履歴の削除方法」を解説します。 パスワードの変更 まずはパスワード/SECRET_KEYを今すぐ変更しましょう。 対応が遅れてしまうと
.gitignore し忘れて他人に見えちゃマズいファイル(パスワードをベタ書きしたファイルや AWS_SECRET_ACCESS_KEY を書いたファイルとか)を git commit しちゃった!そんなときは すればすぐ何もなかったことにできます。 が!そこで気付かずに GitHub へ git push してしまった!こうなると容易に何もなかったことにはできません。 この記事では、こういうときに何もなかったことにする方法を紹介します。 そのデータを無効にする 特に Public Repository の場合はすでにそのデータが他人の目に触れていた…ということも十分ありえます。AWS_SECRET_ACCESS_KEY なんかは取得用のクローラが存在するとも聞きます。ので、まずは不正利用されても影響が出ないように、パスワードの書き換えやトークンの無効化を施しましょう。 (この時点でもう
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く