Hallo!\n\nWir betreiben eine Support-Community, in der Benutzer häufig Log-Dateien hochladen. Wir fördern offene Support-Diskussionen, wann immer möglich, und leiten nur ausnahmsweise private Nachrichten weiter, um Logs zu sammeln (wenn wir der Meinung sind, dass die ungeschwärzten Logs einen hohen Wert haben oder es sich um eine neue Situation handelt, die wir so schnell wie möglich debuggen möchten).\n\nWir sind auf ein wiederkehrendes Problem gestoßen: Benutzer legen versehentlich „Geheimnisse“ (Tokens) in ihren Anhängen offen.\n\nDas bringt uns in eine schwierige Lage. Wir müssen Benutzer über kompromittierte Tokens informieren und sie über sichere Freigabepraktiken aufklären, während wir versuchen, ein Gleichgewicht zwischen offenem Support und Vertraulichkeit zu wahren (ohne die Grenzen zwischen unserem vertraulichen professionellen Support und dem Community-Support zu verwischen).\n\nWir würden uns über eine Funktion freuen, die Anhänge auf Geheimnisse scannt, ähnlich der bestehenden AV-Scan-Funktionalität (die wir verwenden). Idealerweise würde diese Funktion Benutzer warnen, wenn Geheimnisse in ihren Uploads erkannt werden, und Administratoren möglicherweise über potenzielle Offenlegungen informieren.\n\nIch weiß, dass dies keine besonders kleine Aufgabe ist, wir sind im Geschäft des Scannens von Code auf Geheimnisse, aber vielleicht gibt es ja Fortschritte!\n\nWas meint ihr?
Wenn Sie Mods haben, die ziemlich aktiv sind, könnten Sie sie dazu bringen, es zu bearbeiten und dann die Bearbeitungshistorie zu verbergen. Ich bin in einem Forum, wo wir auch ein solches Problem haben.
Gibt es etwas, das alle Tokens auf irgendeine Weise ähnlich macht? Vielleicht könnten Sie dann Watched Words mit Regex verwenden?
Ich glaube, Watched Words funktionieren nicht in Anhängen.
Danke, Colin, ich mag diese Feature-Anfrage sehr. Wie Sie bemerken, ist dies keine besonders kleine Aufgabe, aber sie scheint sehr wertvoll zu sein. Und das Antiviren-Plugin kann als Vorlage dafür dienen, wie man bei der Implementierung vorgeht.
Keine schlechte Idee, wenn Leute ihre Protokolle direkt im Beitrag posten (mit formatiertem Text), aber meistens finden wir Dinge, die in angehängten Protokolldateien versteckt sind.
Danke, Penar!
Ich wäre nachlässig, wenn ich nicht auf unsere Open-Source-Engine zur Erkennung von Geheimnissen verweisen würde.
Nur ein Beispiel, sie nimmt Konfigurationsdateien entgegen (wie sonarqube.yaml, die die von mir am meisten beachteten Token beschreiben).
Aber es gibt wahrscheinlich viele andere Möglichkeiten, etwas wie dieses zu implementieren!