2022 adalah tahun kebocoran kode sumber; Microsoft, Nvidia, Samsung, Rockstar dan banyak perusahaan lain mendapatkan kode sumbernya open source secara tidak sengaja. Tapi beberapa penelitian baru dari Cybernews telah mengungkapkan bahwa ada jutaan repositori git pribadi yang sebenarnya tidak terlalu pribadi. Pada artikel ini, kita akan melihat penelitian tentang repositori git yang terbuka, mempertimbangkan mengapa ini bisa menjadi masalah, dan menyarankan apa yang dapat Anda lakukan secara berbeda.

Hampir 2 juta repositori Git terbuka

Git adalah teknologi yang digunakan hampir semua pengembang perangkat lunak untuk berkolaborasi dan mengontrol versi perangkat lunak mereka. Anda mungkin akrab dengan host repositori git seperti GitHub, BitBucket, atau GitLab, yang semuanya menawarkan solusi turnkey untuk mendaftar dan mulai memasukkan kode ke repositori Anda sendiri dan berkolaborasi dengan orang lain. Git dapat menjadi teknologi yang rumit dan rawan kesalahan pengguna yang dapat menyebabkan terungkapnya informasi sensitif. Misalnya, saat Anda membuat repositori git baru di mesin Anda, a .git folder dibuat. Folder ini berisi semua informasi dan metadata tentang proyek Anda sejak pembuatannya. Jika Anda membuat perubahan pada aplikasi Anda pada tahun 2012, 10 tahun kemudian, perubahan itu masih tersembunyi di sini .git kasus. Jika Anda memasukkan kunci API ke cabang pengembangan 3 tahun lalu, itu masih ada di dalamnya .git kasus. Pada dasarnya, kecuali Anda yakin bahwa Anda dan tidak seorang pun di tim Anda pernah melakukan sesuatu yang sensitif dari jarak jauh, yang akan menjadi anugerah jika benar, ini mungkin file yang sangat sensitif.

Hasil Pencarian

Sebuah studi CyberNews baru telah mengungkapkan bahwa jumlah yang sangat besar dari ini .git file tidak hanya dihosting dari jarak jauh tetapi juga dapat diakses oleh publik.

Dalam sebuah penelitian untuk menentukan berapa banyak repositori git yang dihosting sendiri, yang pada kenyataannya, tanpa disadari publik, mereka menemukan 1.930.000 repositori yang dapat diakses dari jarak jauh.

“Memiliki akses publik ke folder .git dapat menyebabkan terbukanya kode sumber. Alat yang diperlukan untuk mendapatkan bagian atau kode sumber lengkap dari folder .git gratis dan terkenal, yang dapat menyebabkan banyak kebocoran internal lainnya atau lebih mudah akses ke sistem untuk aktor jahat”,
Martynas Vareikis, peneliti di Cybernews, mengatakan.

CyberNews tidak sendirian dalam penelitian seperti ini. Eksperimen yang lebih kecil dilakukan oleh SDCat, blogger teknologi dan keamanan populer yang memindai 2,3 juta domain untuk repositori git dan menemukan

• 1053 repositori git terbuka sepenuhnya atau sebagian
• 12 nama pengguna dengan kata sandi dalam data git config

Proyek penelitian ini, bersama dengan pelanggaran terkait yang tak terhitung jumlahnya yang kami alami selama dua tahun terakhir, menunjukkan betapa besarnya masalah ini sebenarnya.

“Bahkan setelah memparalelkan skrip analisis, saya butuh beberapa hari untuk menganalisis semua 2,6 juta domain. Saya tidak mengharapkan banyak hasil, tetapi saya terkejut dengan besarnya masalah ini.”
SDCat

Bagaimana folder .git terbuka?

Ada banyak cara .git meluas ke tempat-tempat yang mungkin tidak dimaksudkan. Mungkin salah mengonfigurasi cadangan atau mencoba menghosting server git Anda sendiri, tetapi biasanya ini merupakan masalah penerapan. Contoh yang terjadi beberapa kali adalah dengan situs web statis, jika seseorang menggunakan ember Amazon S3 untuk menghosting situs mereka, mengunduh versi saat ini, mereka mengunduh seluruh direktori termasuk .git kasus. Bagi siapa pun yang memahami betapa sensitifnya hal ini, tampaknya tidak mungkin dan mengejutkan bahwa hal ini terjadi, tetapi hal itu terjadi, hampir 2 juta kali sejauh yang kita ketahui.

Mengapa mengekspos repositori Git begitu bermasalah?

Repositori Git tidak dirancang untuk memuat informasi sensitif. Mereka dirancang untuk memungkinkan kolaborasi dan berbagi kode sumber antara pengembang dan terkadang komunitas pada umumnya. Meskipun kode sumber dapat menjadi aset berharga bagi bisnis, bisa dibilang aset perusahaan yang paling berharga, kode sumber itu sendiri seringkali tidak begitu berharga bagi pihak lain dan aplikasi yang dirancang dengan baik tidak boleh menjadi rentan hanya karena kode sumbernya terekspos. Jadi mengapa Anda bertanya, apakah ini masalah sehingga kode sumbernya bocor? Jawabannya adalah kode sumber seringkali berisi informasi sensitif yang seharusnya tidak ada. Rahasia seperti kunci API, sertifikat keamanan, dan kredensial lainnya sangat sering diekspos dalam kode sumber. Anda dapat membaca lebih lanjut tentang masalah khusus ini di blog lain (…) tetapi berikut adalah statistik utamanya

• Perusahaan menengah dengan 400 pengembang akan memiliki 13.000 rahasia (1.000 unik) di repositori pribadi mereka
• GitGuardian memindai semua repositori GitHub publik dan menemukan lebih dari 6.000.000 rahasia pada tahun 2021
• 3 dari 1000 komit yang dipindai oleh GitGuardian berisi setidaknya satu rahasia

Ada badai sempurna yang dihasilkan dari fakta bahwa git memungkinkan kolaborasi pengembang yang begitu mudah, rahasia dimaksudkan untuk terprogram, dan cerita git tidak pernah mati. Sementara Proyek Penelitian CyberNews tidak memindai setiap repositori untuk mengetahui rahasia yang mendalam. Mereka menemukan bahwa 6% repositori git memiliki kredensial penerapannya di file konfigurasi git….. Saya akan mengatakannya lagi, pelan-pelan.

> 6% dari repositori git yang terbuka memiliki kredensial untuk menerapkan aplikasi mereka, dapat diakses publik di seluruh dunia, dalam file konfigurasi!

Tahun lalu, ditemukan bahwa repositori git Twitch memiliki kesalahan konfigurasi yang membuatnya tersedia untuk umum (mirip dengan studi CyberNews yang terungkap), yang menyebabkan terungkapnya seluruh kode sumber dari semua proyek mereka (bahkan yang paling rahasia) dengan sekitar 6.600 rahasia .

Bahkan pemerintah tidak kebal terhadap masalah ini dengan pemerintah India mengalami pelanggaran besar-besaran yang mengungkapkan bahwa ada ratusan server git yang terbuka yang mengungkapkan sejumlah besar file sensitif termasuk keamanan sertifikat dan bahkan laporan polisi. Semua karena repositori git pribadi sebenarnya tidak pribadi.

Kode sumber, hampir selalu, mengandung lebih dari sekedar kode sumber. Dalam sejarah sebuah proyek, cabang pengembangan yang sering terlupakan menyembunyikan informasi sensitif. Inilah sebabnya, meskipun kode sumber tidak dianggap sebagai aset kritis keamanan, itu harus dilindungi dan inilah mengapa repositori kode pribadi yang bersifat publik menjadi perhatian besar.

Apa yang bisa kita lakukan?

Jawabannya jelas untuk memastikan repositori git kita bersifat pribadi, bukan?

Yah tidak cukup. Penelitian ini menambah tumpukan bukti kuat bahwa repositori git bukanlah tempat yang tepat untuk menyimpan informasi sensitif. Jika repositori git Anda dilindungi, akan menjadi lebih sulit, tetapi bukan tidak mungkin, bagi aktor jahat untuk mengaksesnya. Pada tahun 2021, serangan rantai pasokan CodeCov berarti bahwa aktor jahat memiliki akses ke hingga 20.000 repositori git pribadi pengguna CodeCov, termasuk HashiCorp, Twilio, dan Rapid7, meskipun belum pernah ditampilkan secara publik. Kami juga melihat perusahaan seperti Uber meretas repositori mereka karena akun pengembang yang disusupi. Masalahnya, repositori telah diekspos ke aktor jahat sebagai titik lemah dalam infrastruktur kami dan kami perlu mengamankannya dengan beberapa cara.

1. Pastikan itu pribadi, segmen antara proyek kritis dan non-kritis, dan pengembang memiliki otentikasi dua faktor, 2FA diaktifkan.
2. Pastikan bahwa repositori kami tidak berisi informasi sensitif seperti rahasia di log mereka dengan deteksi dan analisis rahasia otomatis. Alat seperti GitGuardian sangat membantu dalam hal ini yang dapat digunakan pada repositori yang dihosting atau repositori yang dihosting sendiri.
3. Analisis domain dan infrastruktur kami untuk mengetahui apakah kami telah terpapar .git depot dan infrastruktur penting lainnya. Anda dapat menganalisis domain dan subdomain Anda dengan banyak alat seperti mengumpulkan Atau penelitian tidak langsung untuk menyebutkan pasangan.

Ringkasan

Meskipun ada banyak bukti yang menunjukkan bahwa repositori git adalah target bernilai tinggi bagi musuh, kami dapat menambahkan bukti ini bahwa repositori ini mudah diakses oleh penyerang melalui pemindaian domain dan IP pada penelitian .git Folder. Ya, kami perlu melindungi repositori ini dengan lebih baik dan memindai infrastruktur kami sendiri untuk menemukan kelemahan, tetapi kami juga perlu memastikan bahwa data sensitif seperti rahasia disimpan dari repositori kami sebagai upaya keamanan minimum.