¿Es un defecto de seguridad mostrar la api_key segura en el archivo travis.yml del código fuente de una aplicación web en Github?

Question

¿Es un defecto de seguridad mostrar la api_key segura en el archivo travis.yml del código fuente de una aplicación web en Github?

#1 de EdOverflow (2 votos)
#2 de SeeYouInDisneyland (1 votos)

3

He estado trabajando en una revisión de código de un proyecto. El código fuente está disponible públicamente en Github.

Encontré un archivo "travis.yml". En ese archivo, puedo ver la api_key segura como se muestra en la captura de pantalla.

Creo firmemente que es un defecto de seguridad. Sin embargo, no puedo demostrarlo porque no estoy seguro de cómo un atacante puede usar esa api_key.

Por lo tanto, avíseme si es un defecto de seguridad y la justificación necesaria para demostrarlo. He borrado algunos detalles en la captura de pantalla debido a razones de seguridad.

penetration-test access-control secure-coding github

pregunta Sai Dutt Mekala 26.07.2018 - 13:12

fuente

2 respuestas

Lea otras preguntas en las etiquetas penetration-test access-control secure-coding github

¿Cuál es la diferencia entre notario digital y autoridad de certificación? ¿Cómo se comprometieron las cuentas de Facebook?

score 2 · Answer 1

Como Travis CI documentación sobre variables de entorno cifradas notas:

Las variables de entorno cifradas no están disponibles para extraer solicitudes de las bifurcaciones debido al riesgo de seguridad de exponer dicha información a un código desconocido.

[...]

Las claves de cifrado y descifrado están vinculadas al repositorio. Si divide un proyecto y lo agrega a Travis CI, no tendrá acceso a las variables cifradas.

Esta es una clave de API encriptada y está diseñada para incluirse en los archivos .travis.yml como se encontró anteriormente. Solo el repositorio del autor puede usar esa clave de API encriptada tal como está.

score 1 · Answer 2

Al anunciar públicamente sus claves de API, ¡incluida la dirección de correo electrónico asociada! - le da a (ab) los usuarios la oportunidad de hacerse pasar por el desarrollador legítimo y hacer un mal uso de la API en cuestión. Esto podría hacer que se le prohíba utilizar la API, dañar su reputación u otros problemas más graves según la API en cuestión.

Los mismos GitHub escribieron una blog post sobre ese tema en 2013.