公共仓库扫出 1.7 万条有效密钥：安全工程师发现 GitLab 大规模泄密，GCP 与数据库凭据暴露最严重

该研究由安全工程师LukeMarshall开展，并通过TruffleSecurity的研究计划发布。他此前也对Bitbucket与CommonCrawl数据集进行过类似检查，分别发现6,212条与12,000条有效密钥。Luke长期关注开源生态中的密钥暴露问题，此前曾在NPM、PyPI中发现过类似情况。GitLab于2011年推出，是三大主流Git托管服务之一。虽然发布最晚，但其公开仓库数量几乎是Bitbucket的两倍。与GitHub、Bitbucket一样，由于Git记录会长期保留历史提交，平台又托管数百万公开项目，因此更易出现开发者误提交密钥的情况。▲机翻截图LukeMarshall使用了TruffleSecurity开源软件，利用GitLab的公共API枚举所有公共仓库，并通过自编写的Python脚本分页获取结果。整个过程在约24小时内完成，云端总成本约为770美元。Marshall共发现17,430条可验证且仍可使用的密钥，数量约为其Bitbucket扫描结果的三倍，库密度（每仓库暴露的密钥数量）也高出35%。据介绍，泄露的密钥大多数是2018年之后生成的，甚至包括可追溯到2009年且至今仍有效的密钥（甚至早于GitLab的发布日期，推测为从其他平台迁入时带入）。在暴露的密钥中，GoogleCloudPlatform（GCP）凭证是最常见的类别，平均每约1060个仓库中就会出现一组有效GCP密钥，总数超过5,200条；其次是MongoDB密钥、Telegram机器人令牌和OpenAI密钥。另外，此次研究还观察到显著的“平台本地性”：在GitLab上发现了406组有效GitLab密钥，而在Bitbucket上仅出现16组，说明开发者更容易在使用某个平台时误提交该平台的访问凭证。为加速后续的漏洞披露流程，他使用可联网搜索的ClaudeSonnet3.7分析每个域名的最佳安全报告渠道，并额外编写脚本生成披露邮件，最终向120余家组织报告了泄露情况，并另外与30多家SaaS服务提供商合作，协助处理客户凭证暴露问题。Marshall表示，许多组织已在收到通知后撤销其暴露的密钥，但仍有部分凭据继续在GitLab上公开暴露。广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，亚汇网所有文章均包含本声明。