游乐游手机版
首页/科技数码/文章详情

公共仓库泄密风险:1.7万密钥暴露,GitLab安全漏洞与数据库凭证防护

时间:2025-12-01 10:57
11 月 29 日消息,Truffle Security 安全工程师对 GitLab Cloud 上约 560 万个公共仓库进行扫描,发现其中包含 17,430 条有效密钥,涉及 2,804 个独

11月29日,Truffle Security安全工程师在GitLab Cloud平台上扫描了约560万个公共代码仓库,发现其中竟有17,430条有效密钥仍在泄露,波及2,804个独立域名,涵盖云服务、数据库和各类API凭据等敏感信息。他也因此获得了超过9000美元(约合63748元人民币)的漏洞奖金。

公共仓库扫出 1.7 万条有效密钥:安全工程师发现 GitLab 大规模泄密,GCP 与数据库凭据暴露最严重

这项研究由安全工程师Luke Marshall主导,并通过Truffle Security的研究计划发布。他此前也对Bitbucket与Common Crawl数据集进行过类似检查,分别发现了6,212条和12,000条有效密钥。Luke长期关注开源生态系统中的密钥泄露问题,此前曾在NPM、PyPI中发现过类似情况。

GitLab于2011年正式问世,是三大主流Git托管服务之一。虽然它发布最晚,但其公开仓库数量几乎是Bitbucket的两倍。与GitHub、Bitbucket一样,由于Git记录会长期保留历史提交,平台又托管着数百万公开项目,因此更容易出现开发者误提交密钥的情况。

公共仓库扫出 1.7 万条有效密钥:安全工程师发现 GitLab 大规模泄密,GCP 与数据库凭据暴露最严重

▲ 机翻截图

Luke Marshall使用了Truffle Security开源软件,通过GitLab的公共API枚举所有公共仓库,并使用自编的Python脚本分页获取结果。整个过程在约24小时内完成,云端总成本约为770美元。

Marshall共发现了17,430条可验证且仍可使用的密钥,数量约为其Bitbucket扫描结果的三倍,库密度(每仓库暴露的密钥数量)也高出35%。

据报告介绍,泄露的密钥大多数是2018年之后生成的,甚至包括可追溯到2009年且至今仍有效的密钥(早于GitLab的发布日期,推测为从其他平台迁入时带入)。

公共仓库扫出 1.7 万条有效密钥:安全工程师发现 GitLab 大规模泄密,GCP 与数据库凭据暴露最严重

公共仓库扫出 1.7 万条有效密钥:安全工程师发现 GitLab 大规模泄密,GCP 与数据库凭据暴露最严重

在暴露的密钥中,Google Cloud Platform(GCP)凭证是最常见的类别,平均每约1060个仓库中就会出现一组有效GCP密钥,总数超过5,200条;其次是MongoDB密钥、Telegram机器人令牌和OpenAI密钥。

公共仓库扫出 1.7 万条有效密钥:安全工程师发现 GitLab 大规模泄密,GCP 与数据库凭据暴露最严重

另外,此次研究还观察到显著的“平台本地性”:在GitLab上发现了406组有效GitLab密钥,而在Bitbucket上仅出现16组,说明开发者更容易在使用某个平台时误提交该平台的访问凭证。

为加速后续的漏洞披露流程,他使用可联网搜索的Claude Sonnet 3.7分析每个域名的最佳安全报告渠道,并额外编写脚本生成披露邮件,最终向120余个组织报告了泄露情况,并另外与30多家SaaS服务提供商合作,协助处理客户凭证暴露问题。

Marshall表示,许多组织已在收到通知后撤销其暴露的密钥,但仍有部分凭据继续在GitLab上公开暴露。

来源:https://www.ithome.com/0/901/172.htm
上一篇华为官网解析“5A”通信技术:5G-A/5.5G与5G的区别 下一篇韩国电商Coupang遭黑客攻击,3370万账户信息泄露始末
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
OpenClaw手机App上线,结果翻车了
科技数码 · 2026-07-01

OpenClaw手机App上线,结果翻车了

OpenClaw 官方宣布,已正式推出 iOS 和 Android 原生移动 App,用户如今可以在手机上使用这款主打“能真正帮你做事”的个人 AI 助手。官方在 X 上给出的定位也很直接:把 Agent 放进口袋里,让用户可以在移动端处理频道消息、任务和回复。从功能上看,OpenClaw 移动端并

优必选CEO周剑:家庭机器人生态核心投入过半精力
科技数码 · 2026-07-01

优必选CEO周剑:家庭机器人生态核心投入过半精力

先说几个核心判断:优必选正在布局一盘长远战略。创始人兼CEO周剑在近期一场媒体沟通会上,直接亮出了公司未来的发展路线——工业、商用、家庭陪伴机器人三条业务主赛道并行推进,现阶段每条线各占约一半精力。一边是已经能够稳定创造收入的工业场景,另一边则是他眼中“最具想象力与未来空间”的家庭陪伴领域。工业人形

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛
科技数码 · 2026-07-01

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛

6月30日,申银万国在光连接系列研报中重点指出,MPO光连接器领域的投资机会值得高度关注。通俗来说,随着AI算力集群持续扩张,光互联升级带来的连锁效应——数据中心光纤通道数量、前面板端口密度、机柜内光纤管理复杂度——均在同步攀升。光连接器的角色早已超越传统的低价值标准件,如今它直接决定着链路插损、可

龙岗AR实景剧本游内测体验短板有效破解之道
科技数码 · 2026-07-01

龙岗AR实景剧本游内测体验短板有效破解之道

在今年龙岗区第二届人工智能与机器人发展大会上,区级部门一次性推出了7个AI“龙搭子”。其中,名为“龙导游”的成果成为文商旅融合领域的核心亮点。据南都N视频记者了解,依托“龙导游”打造的全区全域AR实景剧本游“龙岗大陆”,已在今年五一假期发布了内测版本。经过一个月市场验证后,该项目正式启动面向全社会的

南下资金6月30日净买入中芯国际与建滔积层板
科技数码 · 2026-07-01

南下资金6月30日净买入中芯国际与建滔积层板

6月30日,南下资金持续大举买入港股,单日净流入金额高达58 95亿港元。接下来,我们直接盘点哪些个股获得资金青睐、哪些遭到减持: 净买入方面,中芯国际领跑全场,单日吸金19 33亿港元;建滔积层板紧随其后,净买入10 59亿港元;腾讯控股获得7 65亿港元净流入;智谱(02513 HK)也有6 5