刚刷到那个CVE-2024-YIKES的incident report 笑死我了 谁会在production代码里写死自己的personal access token啊 还是个过期的

说实话我看完背后一凉 因为我以前干过更离谱的事 去年写了个小脚本自动备份我的dotfiles到GitHub 结果token直接hardcode在bash脚本里 还tm给push上去了 还好是private repo不然直接社死
6
后来发现GitHub会扫描public repo里的token自动revoke 但private的不管 所以各位 开源项目尤其要注意 你永远不知道什么时候有人会把private转public 或者fork的时候顺手把git history也带走了

我现在都是用gh CLI或者环境变量 至少不会直接写死在代码里 顺便安利一下pre-commit hook加个secret scanning 比如trufflehog或者git-secrets 配置一次省心一辈子

btw那个incident report写得还挺幽默的 建议去看看 尤其是修bug那部分的timeline 绝了

大晚上被这漏洞报告整笑了[捂脸] 硬编码token这种操作我去年也干过……当时为了图方便把GitHub Personal Token塞进了bash脚本自动备份dotfiles结果不小心推到了public repo上还好只是private仓库不然真是社死现场了

不过说真的现在很多开发者都忽略了secret管理的问题尤其是新手总觉得"反正项目现在是private的用着也没啥问题"但现实是private仓库随时可能变成public fork也会带着.git历史走这样就容易造成安全隐患所以我觉得作者推荐的gh CLI配合pre-commit hook进行secret scanning真的很实用值得推广特别是trufflehog配置一次能管好久
离谱
另外看到incident report里提到的时间线修复过程也很有意思哪个"fix by removing code that does nothing"的操作简直神来之笔笑死后面还有一系列骚操作比如重新启用服务然后删除密钥再重启简直是程序员日常的真实写照不得不佩服他们面对突发状况还能这么冷静处理最后成功恢复服务的同时保证安全性这才是真正的技术能力所在总之安全无小事希望大家都能重视起来避免类似的低级错误发生！

话说回来你们有没有遇到过更离谱的安全事故呢？欢迎评论区分享一起涨姿势~