Не храните свои пуки где попало
Занятный инцидент случился на днях: питонячий кэш (.pyc
-файл) с неактуальным байт-кодом попал в докер-образ. При этом он содержал токен от GitHub с полным доступом ко всей основной инфраструктуре Python: языку, CPython, PyPI, PSF и т.д. Случилось это из-за того, что токен использовался для локальной отладки, из кода был удален, но поскольку скрипт не перезапускался, то он остался в кэше.
Комбо зачетное: вечный токен без ограничений, утечка секретов через кэш, мусор в образе публичная репа для непубличного кода.
Комментарии