◽️ پژوهشی که ۵.۶ میلیون مخزن عمومی ‌GitLab را مرور کرده، نشان داده است که ۱۷,۴۳۰ secret معتبر — تقریباً سه برابر بیش از آنچه قبلاً در Bitbucket پیدا شده بود — به‌صورت عمومی در کدها وجود دارند. ⚠️ عمده این اطلاعات حساس متعلق به سرویس‌هایی مثل GCP، MongoDB، توکن‌های بات در Telegram، کلیدهای OpenAI و حتی توکن‌های GitLab بودند و مهاجم می‌تواند از این طریق به زیرساخت‌ها دسترسی یابد. ✴️ برخی از موارد به سال ۲۰۰۹ برمی‌گردند و با وجود بی‌استفاده ماندن همچنان معتبر هستند و می‌توانند مورد سوءاستفاده قرار گیرند. ✳️ توصیه‌های امنیتی: - تمام مخازن عمومی و خصوصی پروژه را برای وجود کلیدها، توکن‌ها و رمزهای حساس با ابزار خودکار بررسی کنید. - هر کدام از مشخصات حساسی که در معرض دید قرار گرفته‌اند را بلافاصله منقضی (revoke) و با کلید جدید جایگزین کنید. - از ذخیره‌ی رمزها در کد خودداری کرده و به جای آن از روش‌هایی مثل متغیرهای محیطی استفاده نمایید.