search

Git Security

Tài liệu hướng dẫn về các quy tắc bảo mật khi làm việc với Git

hashtag
Các lỗi về security thường gặp khi sử dụng Git

hashtag
1. Lưu trữ các thông tin Sensitive trên Git

hashtag
Vấn đề

Trong quá trình setup mã nguồn của dự án, các thông tin sensitive như password, access key, secret key, customer data, được lưu trữ hoặc dùng trực tiếp trong source code và không được đánh dấu vào .gitignore dẫn đến việc các thông tin được đưa lên Git Server. Đây là điều tối kị và sẽ dẫn đến nguy cơ bị lộ các thông tin bảo mật.

hashtag
Giải pháp

hashtag
2. Public source code chứa private key lên Git remote / Drive platform

hashtag
Vấn đề

Khi không tuân thủ các quy tắc bảo mật thông tin trong mã nguồn thì có thể dẫn đến nguy cơ bị lộ thông tin sensitive khi source code được public (upload lên git với chế độ public)

hashtag
Ảnh hưởng

Một số thiệt hại về tiền bạc khi bị lộ thông tin bảo mật của AWS

triangle-exclamation

Bị lộ Access Key và bị tính tền 6000$ chỉ trong vòng một đêm arrow-up-right

triangle-exclamation

Một trường hợp bị lộ thông tin AWS và bị tính tiền tổng cộng là 50,000$arrow-up-right

hashtag
Tại gumi Vietnam

circle-exclamation

Không ít hơn 3 lần, các thông tin bảo mật như Access Key, Secret Key hay Customer Data bị lộ ra ngoài khi nhân viên upload mã nguồn chứa keys lên github cá nhân với chế độ public, và được AWS / Github gửi email thông báo về việc bị lộ thông tin bảo mật cho khách hàng. Điều này gây thiệt hại về doanh thu cũng như uy tín của gumi Vietnam đối với các khách hàng và đối tác.

Vì vậy để ngăn chặn các tình huống tương tự xảy ra trong tương lai, toàn bộ nhân viên công ty gumi Vietnam phải ý thức được tầm quan trọng của các các dữ liệu nhạy cảm và biết cách bảo vệ chúng để không gây ra những hậu quả nghiêm trọng.

hashtag
Giải pháp

circle-info

Xem Security Checklist cần phải đảm bảo trong quá trình phát triển dự án

PreviousSemantic VersioningNextGit Security Checklist

Last updated