Blockdit Logo (Mobile)
Shoper Gamer
29 พ.ค. เวลา 14:49 • การศึกษา
Github By ShoperGamer

7 สิ่งที่ไม่ควรทำใน GitHub ถ้าไม่อยากให้บัญชีปลิว

โดย
GitHub เป็นแพลตฟอร์มที่นักพัฒนาทั่วโลกใช้เก็บโค้ด แชร์โปรเจกต์ และ ทำงานร่วมกัน แต่บางครั้งความประมาท หรือ ความไม่รู้ก็อาจนำไปสู่ปัญหาหนัก เช่น บัญชีถูกแฮก โค้ดหลุดรั่ว หรือ แม้กระทั่งถูกแบนจาก GitHub
เพื่อความปลอดภัยของโค้ด และ บัญชีผู้ใช้ มาดูกันว่า อะไรบ้างที่ไม่ควรทำใน GitHub ถ้าไม่อยากให้บัญชี "ปลิว" ไปกับสายลม!
  • ​1) อัพโหลดข้อมูลลับขึ้น Github แบบไม่ได้ตั้งใจ
- Token, API Keys, Password, SSH Keys ถ้าติดอยู่ในโค้ดแล้วเผลอ Push ขึ้น GitHub อาจถูกแฮกเกอร์สแกนเจอ และ ใช้เจาะระบบได้
- วิธีป้องกัน:
○ ใช้ .gitignore เพื่อไม่ให้ไฟล์ลับถูกอัพโหลด
○ ใช้ GitHub Secrets สำหรับเก็บค่าลับใน Repository
- สแกนโค้ดด้วย GitGuardian หรือ TruffleHog เพื่อตรวจหาคีย์ที่รั่วไหล
💡 เคยตรวจสอบ repo ของคุณแล้วหรือยัง? ลองค้นด้วยคำสั่ง `grep -r "password" ./` ในโปรเจกต์ดู!
  • ​2) ใช้ Github เป็นที่เก็บไฟล์ทั่วไป (ไม่เกี่ยวกับโค้ด)
- GitHub ไม่ใช่ Google Drive หรือ Dropbox การอัพโหลดไฟล์ใหญ่ (เช่น ไฟล์วีดีโอ, ไฟล์เอกสาร) อาจทำให้ Repository หนัก และ เสี่ยงโดนลิมิตการใช้งาน
- วิธีป้องกัน :
○ ใช้ Git LFS (Large File Storage) ถ้าจำเป็นต้องเก็บไฟล์ใหญ่
○ ใช้บริการอื่น เช่น Google Drive, AWS S3 แทน
  • ​3) Fork Repostiory แล้วไม่ดูแล
- การ Fork Repo ของคนอื่นแล้วปล่อยทิ้งไว้ โดยไม่อัปเดต หรือ ลบ อาจทำให้มี Repo เต็ม GitHub Profile โดยเปล่าประโยชน์
- วิธีป้องกัน:
○ ลบ Fork ที่ไม่ได้ใช้ หรือ Archive ทิ้ง
○ อัปเดต Fork เป็นระยะๆ เพื่อดึงโค้ดใหม่จาก Repo หลัก
  • ​4) ไม่ตั้งค่ายืนยันตัวตน 2 ขั้นตอน 2FA
- บัญชี GitHub ที่ไม่มี 2FA ถูกแฮกได้ง่ายมาก! แฮกเกอร์อาจใช้ Credential ที่รั่วจากที่อื่นมาเจาะบัญชีคุณ
- วิธีป้องกัน:
○ เปิด 2FA ทันที (ใน Settings > Security)
○ ใช้ Authenticator App (เช่น Google Authenticator) แทน SMS
  • ​5) โพสต์โค้ดที่ละเมิดลิขสิทธิ์ หรือ มีมัลแวร์
- การอัพโหลดโค้ดที่ขโมยมาจากที่อื่น หรือ แอบแฝงมัลแวร์ อาจทำให้ โดนแบนจาก GitHub ถาวร!
- วิธีป้องกัน:
○ ตรวจสอบ License ก่อน Fork หรือ ใช้โค้ดคนอื่น
○ อย่าแชร์โค้ดที่เป็นอันตราย (เช่น สคริปต์แฮ็กกิ้ง)
  • ​6) ใช้ Github Actions อย่างไม่ระวัง
- GitHub Actions เป็นฟีเจอร์ทรงพลัง แต่ถ้าไม่ระวัง อาจถูกใช้เพื่อขุด Crypto (ถูกแฮก) หรือกิน Resource จนเกินลิมิต
- วิธีป้องกัน
○ ตรวจสอบ Workflow ก่อน Push
○ จำกัด Permission ของ Actions
  • ​7) ไม่ตรวจสอบ Dependency ในโปรเจกต์
- Library หรือ Package ที่ใช้ในโปรเจกต์อาจมีช่องโหว่ ทำให้ถูกโจมตีแบบ Supply Chain Attack
- วิธีป้องกัน :
○ ใช้ Dependabot เพื่ออัปเดตแพ็กเกจ
○ สแกนด้วย GitHub Advanced Security
✏️ Shoper Gamer
>> https://linkbio.co/ShoperGamer
Credit :
👇
  • ​https://www.reddit.com/r/github/comments/1k18816/did_github_just_shadowban_my_side_account_forking/?tl=th
  • ​https://blackb0lt.medium.com/ใช้-github-อย่างไร-ไม่ให้ข้อมูลสำคัญเปิดเผยสู่สาธารณะ-unit-42-3780c01ce22f
  • ​https://gitprotect.io/blog/is-github-a-safe-place-for-your-source-code/
  • ​https://docs.github.com/en/actions/security-for-github-actions/security-guides/security-hardening-for-github-actions
  • ​https://docs.github.com/en/site-policy/acceptable-use-policies/github-acceptable-use-policies
  • ​https://docs.github.com/en/repositories/working-with-files/managing-large-files/about-large-files-on-github

ดูเพิ่มเติมในซีรีส์

โฆษณา