- 한 보안 연구원이 GitHub에서 유출된 클라우드 키, API 토큰 등 민감 정보를 찾아 조직에 보고하여 64,000달러 이상을 벌었습니다. 💰
- 그는 수만 개의 공개 Git 저장소를 스캔하고 복제하여 내부 깊숙이 숨겨진 비밀을 찾아내는 독창적인 시스템을 구축했습니다. 🕵️♂️
.git/objects디렉토리의 '느슨한 객체' 및 '매달린 객체'와 같은 Git의 내부 작동 방식을 깊이 이해하고 활용했습니다. 🌳git unpack-objects,git fsck --full --unreachable --dangling명령어를 사용하여 삭제되었거나 도달할 수 없는 파일에서 비밀을 복구했습니다. 🗑️- Git의 모든 변경 사항 저장 특성을 이용, 커밋 기록을 역추적하고 부모-자식 커밋 간의 차이를 분석하여 삭제된 비밀을 발견했습니다. 📜
- 발견된 파일 시스템에서 비밀을 효율적으로 스캔하기 위해 오픈소스 도구인 TruffleHog를 활용했습니다. 🐗
- 이 연구원은 버그 바운티 프로그램이 활성화된 합법적인 대상을 목표로 삼아 윤리적인 방식으로 수익을 창출했습니다. 🤝
- Google Cloud, AWS 프로덕션 키, GitHub/Slack 토큰, OpenAI API 키, 이메일 자격 증명 등 다양한 유형의 비밀이 발견되었습니다. 🔑
- AI 시대에 진화하는 공격 표면에 대응하기 위해 개발자 보안 관행의 근본적인 변화가 필요함을 강조합니다. 🛡️
- Git과 통합 가능한 Jujutsu(JJ)와 같은 새로운 버전 관리 시스템이 대안으로 언급되었습니다. 🚀
Recommanded Videos
NEW
클로드 코드 스킬 생성부터 활용까지! 다른 AI 도구보다 좋은 이유
2026. 1. 15.
레전드 프로그래머는 이렇게 만들어졌다 (크리스 소여, 리누스 토발즈 이야기)
2025. 11. 15.
![[우분투 리눅스 기초 강의] 69강. DHCP 서버](https://i1.ytimg.com/vi/PJs_NUU3WP0/hqdefault.jpg)
[우분투 리눅스 기초 강의] 69강. DHCP 서버
2024. 12. 18.
Django 6 Released! Tasks, Content Security Policy (CSP) support and more!
2025. 12. 5.
Getting the most out of AI Coding
2025. 7. 28.
Every Website Needs This UI Component for 2025
2025. 3. 26.