CyberNewsは10月20日(米国時間)、「Millions of .git folders exposed to public|Cybernews」において、数百万もの.gitフォルダが公開されていると伝えた。プロジェクトの重要な情報を含む約200万の.gitフォルダが一般に公開されていることがCyberNewsの調査チームにより明らかとなった。
-
Millions of .git folders exposed to public|Cybernews
GitはLinus Torvalds氏が20年近く前に開発した人気の高いオープンソースの分散型バージョン管理システム(VCS: Version Control System)。.gitフォルダにはリモートリポジトリのアドレス、コミット履歴ログなどプロジェクトに関する重要なメタデータが含まれており、このデータをオープンアクセスで放置しておくと問題につながる可能性が指摘されている。
例えば最近、米国のストリーミングサービスであるCarbonTVがソースコードを含むサーバをオープンな状態で放置し、ユーザーの安全性を危険にさらしていたことが判明している。このソースコードの流出は.gitフォルダへのアクセス制御が不十分であったことが原因とされている。
CyberNewsの研究者の調査により、インターネットプロトコルバージョン4(IPv4)、特に最も一般的なWebサービスのポート80と443について、必ずしもうまく管理されていないことがわかった。一般にアクセス可能な.gitフォルダを持つサーバのIPアドレスが1,931,148検出されている。一般に公開されている.gitフォルダの31%以上が米国にあり、中国(8%)、ドイツ(6.5%)が続いている。また公開された.git設定ファイルの約6.3%が、設定ファイル自体にデプロイメント認証情報を含んでいることが判明している。
-
Web servers with .git directories exposed|Cybernews
-
Screenshot shows .git/config file with credentials blurred out.|Cybernews
開発者はGitHubのリポジトリにプロジェクトをコミットする際に、どのファイルを無視するかをGitに指示する.gitignoreファイルを活用する必要があるという。一般的に、たとえ非公開のリポジトリであっても機密性の高いコードをコミットすることは決してよいアイデアではないと助言している。
IP経由でアクセス可能なWebサーバーを残すことがまだ一般的であることについても言及している。一般に利用されるメインのドメインアドレスを保護することに注力するあまり、開発者は対応するIPアドレスに同じアクセス制御ルールを設定することを忘れがちであるとし、脅威者がドメインを変更し、アクセスルールを設定するなどの事態が発生する可能性があると指摘している。
