网爆 github 私有库泄露，公司老板问要不要迁移？

爆出来的信息是 2020 年 3 月 28 日入侵的，这私有库里可是各种密钥都有。公司老板看了消息问要不要改密钥、然后迁移代码哭。怎么知道这次泄露的面积？

araaaa

2020-05-10 11:11:51 +08:00

干脆就你们自己内网搭一个呗

cabing

2020-05-10 11:14:56 +08:00

内网 gitlab

MrGba2z

2020-05-10 11:15:07 +08:00

搜到的信息是微软的私有库被拖

贵司微软?

2020-05-10 11:18:19 +08:00

居然不是马上修改里面所有密钥相关的东西？

plusDiscuss

2020-05-10 11:21:52 +08:00

@MrGba2z 不是，因为不清楚泄露面积，所以不知道风险有多大。

MrGba2z

2020-05-10 11:22:57 +08:00

@plusDiscuss
新闻说的是微软员工账号被 hack 导致被拖
如果这个没错的话, 那应该是不会影响别的库

Procumbens

2020-05-10 11:27:05 +08:00

https://www.zdnet.com/article/hacker-gains-access-to-a-small-number-of-microsofts-private-github-repos/

https://www.bleepingcomputer.com/news/security/microsofts-github-account-hacked-private-repositories-stolen/

看新闻是 hack 了一位微软员工，从而得到了部分微软 private repo 的共计 500GB 的内容

The only sensitive issue might be that some projects could contain access tokens and API credentials that may now have to be revoked.

不必太担心

whileFalse

2020-05-10 11:52:26 +08:00

把密钥丢库里不符合最佳实践。

bequt

2020-05-10 12:07:01 +08:00

基本安全性都是一样的，本地也有风险（第一崩了，第二被盗），云端也有风险（被盗+）。

Qusic

2020-05-10 12:54:28 +08:00

管理好密钥就够了感觉上常规的软件公司互联网公司的大部分代码都不值钱吧，泄漏了也不能怎么样（🐶

Sapp

2020-05-10 13:05:52 +08:00

上次 🍺🍐🍺🍐 那个人抓到了吗

zachlhb

2020-05-10 13:54:18 +08:00

密钥什么的为什么要同步 Git ？

ryh

2020-05-10 14:01:26 +08:00

就算是私有库，token 之类不应该 gitignore 么

Devilker

2020-05-10 14:01:50 +08:00

泄露没泄露你们用的那部分储存服务器，也得首先修改密钥。

xinple

2020-05-11 11:00:16 +08:00

不管公有私有库，密钥之类的绝不放在库里。

Ryzebo

2020-05-11 11:35:48 +08:00

内网 gitlab 很香啊

killerv

2020-05-11 13:06:41 +08:00

- 秘钥不应该上传到 Git
- 公司最好自己搭建 Gitlab

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/670202

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.