如果你认为你的 泊坞窗,compose.yml 再想想,这些文件只是基础设施粘合剂。这些文件经常无意中成为机密信息、硬编码凭证、API 令牌和环境变量的存储,这些信息会进入版本控制。一旦同步到 GitHub 或任何代码库,这些机密信息就会永远存在于 commit 历史。
开发人员经常 泊坞窗,compose.yml 作为非敏感文件,忽略了它如何充当 攻击向量此处的一个小漏洞就可能意味着访问私有服务、内部 API 或整个基础设施。这些正是攻击者所寻找的 docker-compose 机密信息。
docker-compose 机密泄露的常见方式 Docker-Compose.yml
以下是开发人员经常犯的一些错误:
1. 直接硬编码凭证
services:
db:
image: postgres
environment:
POSTGRES_USER: admin
POSTGRES_PASSWORD: supersecret123密码在这里 泊坞窗,compose.yml 现在已成为你的 git 历史记录的一部分。更糟糕的是,它也可能被用于生产环境。这是 docker-compose secrets 最直接的形式之一 暴露.
2. 从共享配置或 StackOverflow 复制粘贴
不良做法传播迅速。复制不安全的样本并按原样使用,会导致机密信息在从开发到生产的每个环境中暴露。
3。 安装 .ENV 直接保存文件而不进行保护
环境文件: – .env
.ENV 文件通常包含 API 密钥或凭证,但开发人员忘记将它们添加到 的.gitignore如果仓库是公开的或共享的,则此操作会使机密可见。引用时,这些机密会间接成为 Docker Compose 机密。
Docker-Compose Secrets 的真正影响 CI/CD
In CI/CD pipelines,泄露的秘密来自 泊坞窗,compose.yml 能够:
- 触发未经授权的构建
- 访问仅限于暂存或生产服务
- 将恶意代码注入部署
- 通过横向移动打开后门
攻击者扫描公共 GitHub回购 寻找 泊坞窗,compose.yml 使用 GitHub dork 或自动化工具窃取文件。一旦他们发现机密信息,就可以冒充 CI 运行人员、滥用云积分,甚至更糟的是,在供应链中部署勒索软件。这些 Docker Compose 机密信息代表着一种严重且经常发生的 被忽视的脆弱性。
DevSecOps 开发人员避免 Docker-Compose 机密泄露的最佳实践
- 永远不要对秘密进行硬编码 in 泊坞窗,compose.yml.
- 添加 .ENV 至 的.gitignore, 总是。
- 绝大部分储备使用 秘密扫描工具 在您的本地开发中 CI/CD pipeline.
- 审阅撰写文件 作为安全公关清单的一部分。
- 自动轮换密钥,尤其是对于令牌和服务凭证。
- 审计第三方撰写示例 然后再将它们复制到你的代码库中。
- 将这些文件中的任何敏感数据视为 Docker Compose 机密,并进行相应的管理。
您的 Docker-Compose.yml 可能是你最大的安全盲点
您的 泊坞窗,compose.yml 不仅仅是配置;它是应用程序攻击面的一部分。像对待代码一样对待它。隐藏在这些文件中的秘密会带来真正的风险,尤其是在同步到版本控制并集成到 CI/CD.
Xygeni 等工具有助于检测和管理跨代码库的 Docker Compose 机密, pipeline从而降低供应链攻击的风险。将其集成到您的工作流程中,以获得对供应链的可见性和控制力。 泊坞窗,compose.yml 可能会暴露。
