機密情報が含まれる.envをGitで管理することで生じるリスク
機密情報が含まれる.envを、Gitで管理した際に生じるリスクは何か public repositryでの問題は自明なので、以下ではprivate repositoryの場合を考える
以下のようなリスクを考えた上で、大丈夫そうならGitで管理しても問題ないと思うmrsekut.icon
いずれも、普通に運用している分には問題は起きないと思う
が、できる限り漏洩する可能性を狭める活動は大事
考えられうるリスク
チームメンバのGitHubアカウントが漏洩しうる
でも、これは鍵配送問題というか、配送に使うツールのアカウントが漏洩したら意味なくないか?mrsekut.icon そうでもないかmrsekut.icon
例えばSlackで共有して、共有した直後にメッセージを消せばいい
後に、Slackアカウントを乗っ取られても安全
「Gitは過去のログが全て残る」という特殊な性質を持っていることも考慮すべき
チームメンバが誤ってGitHub Repositoryをpublicにしてしまいうる
GitHubの権限をちゃんとやってればよっぽどのことがない限りこんなコト置きないけどなmrsekut.icon
GitHub自体がcrackされうる
こんなこと言い出したら、
Microsoft社員が暴れる
こんなこと言い出したら、
2021/5/21
その認証情報を使用してGitHubに不正アクセスを行った
GitHub上に一部の顧客情報があったためそれが流出した
2023/1/13
例えば環境変数が流出したということ
現時点で、不正な第三者がCircleCIエンジニアのラップトップに展開されたマルウェアを利用して、有効な2 要素認証でバックアップされたSSOセッションを盗み出したことがわかっています。このラップトップは、2022年12月16日にマルウェアに感染しました。このマルウェアは、当社のアンチウイルスソフトウェアでは検出されませんでした。調査の結果、不正な第三者がセッション Cookie を窃取したため、遠隔地で攻撃の対象となった従業員になりすまし、当社の本番環境の一部にアクセスを拡大することができたことがわかりました。
こんなことあるんだmrsekut.icon