Tags:
Node Thumbnail

ปัญหาการฝังรหัสผ่านหรือคีย์ไว้ในซอร์สโค้ด ถือเป็นช่องโหว่ความปลอดภัยที่มักพลาดกันบ่อยๆ ทำให้บริการฝากซอร์สโค้ดอย่าง GitHub มีฟีเจอร์ชื่อ Secret Scanning คอยไล่ตรวจว่าในโค้ดมีการฝังคีย์ลักษณะนี้หรือไม่ (บังคับเฉพาะโค้ดแบบ public ส่วนโค้ดแบบ private เป็นฟีเจอร์แบบเสียเงิน และต้องเลือกเปิดเอง)

วิธีการคือ GitHub ร่วมกับบริษัทดังๆ หลายเจ้า เช่น AWS, Azure, Google Cloud, Dropbox, Slack, Stripe, Shopify, Twilio (รายชื่อทั้งหมด) เพื่อตรวจสอบแพทเทิร์นคีย์ของบริษัทเหล่านี้ และแจ้งเตือนบริษัทผู้ออกคีย์ให้ถอนคีย์ออก หากพบว่ามีคีย์ถูกเผยแพร่ในที่สาธารณะ

ล่าสุด บริษัทใหญ่อย่าง Meta ประกาศเข้าร่วมกับ GitHub เพื่อสแกนหา Facebook Access Token ในซอร์สโค้ดแล้ว

เนื่องจากแอพหรือเว็บในปัจจุบันมีฟีเจอร์ด้านโซเชียลกันเป็นมาตรฐาน และ Facebook Access Token ถือเป็นคีย์ที่ถูกใช้งานอย่างแพร่หลาย การเข้าร่วมของ Meta ย่อมทำให้ปัญหาคีย์หลุดในซอร์สโค้ดลดลงได้บ้าง

No Description

ที่มา - Meta, GitHub

Get latest news from Blognone

Comments

By: boyphongsakorn on 12 November 2021 - 10:38 #1231261
boyphongsakorn's picture

อ่อ ระบบของ Github หรอ
ถึงว่าผมเคยทำ Token Discord Bot หลุดลงไปใน Github
แล้วส่งข้อความมาทันทีเลย ว่าคุณทำหลุด เรา Reset Token แล้วนะ