ปัญหาการฝังรหัสผ่านหรือคีย์ไว้ในซอร์สโค้ด ถือเป็นช่องโหว่ความปลอดภัยที่มักพลาดกันบ่อยๆ ทำให้บริการฝากซอร์สโค้ดอย่าง GitHub มีฟีเจอร์ชื่อ Secret Scanning คอยไล่ตรวจว่าในโค้ดมีการฝังคีย์ลักษณะนี้หรือไม่ (บังคับเฉพาะโค้ดแบบ public ส่วนโค้ดแบบ private เป็นฟีเจอร์แบบเสียเงิน และต้องเลือกเปิดเอง)
วิธีการคือ GitHub ร่วมกับบริษัทดังๆ หลายเจ้า เช่น AWS, Azure, Google Cloud, Dropbox, Slack, Stripe, Shopify, Twilio (รายชื่อทั้งหมด) เพื่อตรวจสอบแพทเทิร์นคีย์ของบริษัทเหล่านี้ และแจ้งเตือนบริษัทผู้ออกคีย์ให้ถอนคีย์ออก หากพบว่ามีคีย์ถูกเผยแพร่ในที่สาธารณะ
ล่าสุด บริษัทใหญ่อย่าง Meta ประกาศเข้าร่วมกับ GitHub เพื่อสแกนหา Facebook Access Token ในซอร์สโค้ดแล้ว
เนื่องจากแอพหรือเว็บในปัจจุบันมีฟีเจอร์ด้านโซเชียลกันเป็นมาตรฐาน และ Facebook Access Token ถือเป็นคีย์ที่ถูกใช้งานอย่างแพร่หลาย การเข้าร่วมของ Meta ย่อมทำให้ปัญหาคีย์หลุดในซอร์สโค้ดลดลงได้บ้าง
Comments
อ่อ ระบบของ Github หรอ
ถึงว่าผมเคยทำ Token Discord Bot หลุดลงไปใน Github
แล้วส่งข้อความมาทันทีเลย ว่าคุณทำหลุด เรา Reset Token แล้วนะ