GitLab waarschuwt nu automatisch bij mergen van API-sleutels in codebase

Stay tuned, abonneer!

GitLab heeft aangekondigd geheimhoudingsdetectie toe te voegen aan versie 11.9 van de dienst. Dit betekent dat als iemand per ongeluk een API-sleutel of een ander geheim toevoegt aan een commit naar een gedeelde repository, de dienst de gebruiker waarschuwt. Dat meldt The Next Web.

Als een API-sleutel in verkeerde handen valt, kan een aanvaller deze gebruiken om diensten van derde partijen te gebruiken op de kosten van de ontwikkelaar. Zo kunnen AWS-sleutels ingezet worden om honderden dure instances op te zetten, die gebruikt kunnen worden om cryptovaluta te mijnen. Een gestolen Twilio API-sleutel kan gebruikt worden om dure premium telefoonnummers te bellen of om spam te versturen via SMS.

SAST

De nieuwe software van GitLab is onderdeel van zijn statische analysetool genaamd SAST. De tool wordt vooral gebruikt om code te controleren op andere bekende kwetsbaarheden, zoals cross site scripting (XSS) fouten in websites. Mocht SAST nu zien dat er een API-sleutel in de code zit, geeft het een waarschuwing voor de commit gemerged wordt met de algemene codebase.

GitHub heeft enige tijd een vergelijkbare functie gehad. Sinds 2015 checkt het repositories proactief op gelekte OAuth-tokens. Sinds oktober vorig jaar checkt het ook op een bredere set tokens, inclusief die van Slack en Stripe. Uit onderzoek van de North Carolina State University bleek echter dat 100.000 repositories API-tokens en cryptografische sleutels bevatten.

6 procent van die sleutels werden binnen een uur verwijderd, wat impliceert dat de eigenaren van de repositories zich direct bewust waren van hun fout. Bij 12 procent werd de sleutel na een dag verwijderd, bij 19 procent pas na zestien dagen. 81 procent is dus niet verwijderd.

Andere updates

GitLab 11.9 krijgt verder ook betere, gedetailleerdere controls over het mergen van updates. Dit kan handig zijn voor teams die op een punt zitten waar een algemene aanpak niet meer werkt. Daarnaast is de ChatOps-tool open source gemaakt, waarmee gebruikers van het gratis- en basis-abonnement CI/CD-banen kunnen beheren vanuit bericht-apps zoals Slack en Mattermost.

De update is per direct beschikbaar.