H2: GitLab’da 17,000’den Fazla Açık Gizli Bilgi
Günümüz yazılım geliştirme ortamlarında güvenlik, her zamankinden daha önemli bir konu haline geldi. Özellikle, kamuya açık kaynak kodu havuzları, geliştiricilere büyük fırsatlar sunarken, aynı zamanda tehlikeli bilgilerinin yanlış ellere geçmesine de neden olabilir. Son dönemde yapılan bir araştırma, GitLab üzerindeki 5.6 milyon açık repositoride 17,430 gizli bilginin ifşa olduğunu ortaya koydu.
H3: Araştırmanın Detayları
Güvenlik mühendislerinden Luke Marshall, TruffleHog adındaki açık kaynaklı aracı kullanarak GitLab’daki açık repositorileri taradı. Bu tarama, 2,800’den fazla benzersiz alan adı üzerinde yayılmış 17,000’den fazla hassas bilgiyi ortaya çıkardı. Marshall, daha önce Bitbucket üzerinde benzer bir çalışma yaparak, 2.6 milyon repositoride 6,212 açık gizli bilgi bulmuştu.
H3: Kullanılan Yöntem ve Araçlar
Marshall, GitLab’ın kamu API’sini kullanarak tüm açık repositorileri sıralamak için özel bir Python scripti yazdı. Bu yöntem, GitLab’daki tüm repositorileri toplamasına ve daha sonra Amazon Web Services (AWS) üzerinden işlemlerini yönetmesine olanak sağladı. Her bir repositoriyi TruffleHog ile tarayarak, 24 saatten kısa bir sürede 5.6 milyon repoyu inceledi. Bu işlem toplamda 770 dolara mal oldu.
H2: İfşa Olan Gizli Bilgiler
Yapılan tarama sonucunda en fazla gizli bilginin Google Cloud Platform (GCP) kimlik bilgileri olduğu belirlendi; bu kategorideki ifşalar 5,200’den fazla. Diğer sık rastlanan gizli bilgiler arasında MongoDB anahtarları, Telegram bot jetonları ve OpenAI anahtarları bulunuyor. Marshall’ın bulduğu 400’den fazla GitLab anahtarı da dikkat çekiyor.
H3: Sektördeki Etkileri ve Olumsuz Sonuçlar
Bu gizli bilgilerin sızması, yalnızca bireysel geliştiriciler için değil, aynı zamanda büyük organizasyonlar için de ciddi riskler taşımaktadır. Marshall, tespit ettiği gizli bilgilerin sahiplerine otomatik olarak bildirimler göndererek bu durumun azaltılmasına yardımcı oldu. Bu süreç sonunda birden fazla bug bounty ödülü kazanarak toplamda 9,000 dolara ulaştı.
H2: Sonuç ve Öneriler
Sonuç olarak, GitLab’da ifşa olan gizli bilgiler, kullanıcıların dikkat etmesi gereken önemli bir husustur. Geliştiricilerin bu tür bilgileri paylaşmaktan kaçınmaları, güvenlik ihlallerinin önlenmesi açısından kritik öneme sahiptir. Ayrıca, kod paylaşma platformlarında iyi güvenlik uygulamalarını benimsemek, bu tür risklerin minimize edilmesine yardımcı olacaktır.
Güvenlik analistleri ve yazılım geliştiricileri, her proje için uygun güvenlik önlemleri alarak, açıklara karşı daha proaktif bir yaklaşım sergilemelidir. Eğitim ve farkındalık artırma çalışmaları, bu tür risklerin azaltılmasında önemli bir rol oynamaktadır.
Bu araştırmanın ortaya koyduğu türden bilgiler, yazılım geliştirme süreçlerinde güvenliğin sağlanması için dikkat edilmesi gereken kritik unsurları gözler önüne sermektedir.
