Ciao!\n\nGestiamo una community di supporto in cui gli utenti caricano spesso file di log. Incoraggiamo discussioni di supporto aperte quando possibile e solo in casi eccezionali utilizziamo messaggi privati per raccogliere log (quando riteniamo che ci sia molto valore nei log non anonimizzati o si tratta di una situazione nuova che vorremmo risolvere il prima possibile).\n\nAbbiamo riscontrato un problema ricorrente: gli utenti espongono involontariamente “segreti” (token) nei loro allegati.\n\nQuesto ci mette in una posizione difficile. Dobbiamo informare gli utenti sui token compromessi ed educarli sulle pratiche di condivisione sicura, cercando di mantenere un equilibrio tra supporto aperto e riservatezza (senza sfumare i confini tra il nostro supporto professionale riservato e il supporto della community).\n\nCi piacerebbe vedere una funzionalità che scansiona gli allegati alla ricerca di segreti, simile alla funzionalità di scansione AV esistente (che utilizziamo). Idealmente, questa funzionalità avviserebbe gli utenti quando vengono rilevati segreti nei loro caricamenti e possibilmente allertare gli amministratori su potenziali esposizioni.\n\nSo che non è un compito particolarmente semplice, siamo nel settore della scansione del codice alla ricerca di segreti, ma forse c’è qualche possibilità!\n\nCosa ne pensi?
Se hai moderatori molto attivi, potresti farli modificare il contenuto, quindi nascondere la cronologia delle modifiche. Sono in un forum dove abbiamo lo stesso tipo di problema.
C’è qualcosa che rende tutti i token simili in qualche modo? Forse potresti quindi usare Parole monitorate con Regex?
Penso che le parole monitorate non funzionino negli allegati.
Grazie, Colin, apprezzo molto questa richiesta di funzionalità. Come fai notare, non è un compito particolarmente piccolo, ma sembra molto prezioso. E il plugin antivirus può fornire un modello su come procedere con l’implementazione.
Non è una cattiva idea quando le persone pubblicano i loro log direttamente nel post (utilizzando testo formattato), ma il più delle volte troviamo cose nascoste in file di log allegati.
Grazie Penar!
Sarei negligente a non collegare il nostro motore open-source per il rilevamento di segreti.
Solo un esempio, accetta file di configurazione (come sonarqube.yaml, che descrive i token che mi preoccupano di più).
Ma ci sono probabilmente molti altri modi per implementare qualcosa di simile!