您好!
我们运营着一个支持社区,用户经常在此上传日志文件。我们鼓励尽可能公开地进行支持讨论,只有在特殊情况下(当我们认为获取未经过滤的日志非常有价值,或者遇到我们希望尽快调试的新情况时)才会通过私信收集日志。
我们遇到了一个反复出现的问题:用户在附件中无意中暴露了“敏感信息”(令牌)。
这使我们处于一个棘手的境地。我们必须告知用户令牌泄露的问题,并教育他们安全的共享实践,同时努力在公开支持和保密性之间取得平衡(不模糊我们专业保密支持与社区支持之间的界限)。
我们希望看到一项功能,能够扫描附件中的敏感信息,类似于现有的防病毒扫描功能(我们正在使用)。理想情况下,这项功能会在检测到上传内容中的敏感信息时警告用户,并可能提醒管理员潜在的泄露风险。
我知道这不是一项特别小的任务,我们正是从事扫描代码中敏感信息业务的,但也许会有一些进展!
您怎么看?
3 个赞
如果你有一些非常活跃的版主,你可以让他们将其编辑掉,然后隐藏编辑历史。我所在的论坛也有类似的问题。
有什么东西能让所有代币在某种程度上相似吗?也许你可以使用带正则表达式的“监视词”?
2 个赞
pmusaraj
(Penar Musaraj)
4
谢谢,科林,我非常喜欢这个功能请求。正如你所指出的,这并非易事,但似乎非常有价值。而且杀毒插件可以为如何着手实现它提供一个蓝图。
8 个赞
当人们直接在帖子中(使用格式化文本)发布他们的日志时,这个主意倒也不错,但大多数时候我们会发现隐藏在附加日志文件中的东西。
3 个赞
谢谢你,Penar!
我必须链接到我们用于检测敏感信息的开源引擎。
SonarSource/sonar-text
这只是一个例子,它接受配置文件(例如 sonarqube.yaml,描述了我最关心的令牌)。
但实现类似的东西可能还有很多其他方法!
6 个赞