こんにちは!
私たちは、ユーザーがログファイルをアップロードすることがよくあるサポートコミュニティを運営しています。可能な限りオープンなサポートディスカッションを奨励しており、ログを収集するためにプライベートメッセージを送信するのは、そのログに多くの価値があると判断した場合や、できるだけ早くデバッグしたい新しい状況である場合に限られます。
繰り返し発生している問題に遭遇しました。それは、ユーザーが添付ファイルに「シークレット」(トークン)を誤って公開してしまうことです。
これにより、私たちは難しい立場に置かれます。漏洩したトークンについてユーザーに通知し、安全な共有方法について教育する必要がある一方で、オープンなサポートと機密性の維持とのバランス(機密性の高い専門的なサポートとコミュニティサポートとの境界線を曖昧にしないこと)を取る必要があります。
既存のAVスキャン機能(私たちが使用しているもの)と同様に、添付ファイルからシークレットをスキャンする機能があれば素晴らしいと思います。理想的には、この機能は、アップロードされたファイルにシークレットが検出された場合にユーザーに警告し、潜在的な漏洩について管理者に通知することもできるかもしれません。
これは特に簡単なタスクではないことは承知していますが、私たちはコードからシークレットをスキャンするビジネスを行っています。しかし、何か進展があるかもしれません!
どう思われますか?
「いいね!」 3
もしモデレーターが非常にアクティブであれば、編集で削除してもらい、編集履歴を隠すことができます。私もそのような問題を抱えているフォーラムに参加しています。
すべてのトークンが何らかの形で似ている原因は何でしょうか?もしかしたら、正規表現で「監視単語」を使用できるかもしれません。
「いいね!」 2
Moin
3
監視ワードは添付ファイルでは機能しないと思います。
「いいね!」 3
pmusaraj
(Penar Musaraj)
4
コリンさん、ありがとうございます。この機能リクエストは非常に気に入りました。ご指摘の通り、それほど簡単なタスクではありませんが、非常に価値があるようです。また、アンチウイルスプラグインが、これを実装する方法の青写真を提供できます。
「いいね!」 8
(直接投稿にログを記載する場合(書式設定されたテキストを使用)、それは悪くないアイデアですが、ほとんどの場合、添付されたログファイルに隠されたものを見つけます。
「いいね!」 3
ありがとうございます、ペナー!
オープンソースのシークレット検出エンジンへのリンクを貼らないわけにはいきません。
SonarSource/sonar-text
ほんの一例ですが、設定ファイル(例えば、私が最も懸念しているトークンを記述したsonarqube.yamlのようなもの)を取り込みます。
しかし、これのようなものを実装するには、他にも多くの方法があるでしょう!
「いいね!」 6