티스토리 뷰
Github Pull Request나 Issue등에 image 첨부파일을 넣는 것은 보안상에 좋지 않다는 것을 알게 되었다.
아래 두개의 링크를 참조했을 떄 정리해보자면 다음과 같다.
개요
GitHub의 Issue 및 Pull requests에 첨부한 이미지는 웹에 업로드되고 공개 URL이 할당됩니다. 이 URL은 외부에 공개되어 있으며 리포지토리가 Private이더라도 누구나 자유롭게 액세스할 수 있습니다. 이 때문에 당사에서는 Issue나 Pull requests에의 이미지 업로드는 룰로서 금지되고 있습니다만, 이번 제가 룰을 올바르게 이해하지 않고 이미지를 업로드 해 버렸기 때문에, 그 삭제 대응으로서 실시한 것 를 정리한다는 것이 이번 기사의 취지입니다.
비공개 리포지토리의 issue나 풀릭의 코멘트란에 드래그&드롭한 이미지의 동작에 대해서는 아래와 같습니다.
프라이빗 리포지토리에 첨부한 이미지는 이미지 링크(JWT 포함)를 취득하고 이후 5분간이라면 누구나 볼 수 있다(전공개)
이미지의 일시적인 패스와 X-Amz-Signature가 복수 있을 것 같기 때문에, 추측으로 맞추는 것은 비교적 어려울 것 같다.
issue나 풀릭의 코멘트란 등에, 이미지 파일을 드래그&드롭 했을 때에 마크다운 형식으로 자동으로 작성되는 링크는, 그 화상을 붙인 본인 밖에 열 수 없다.
본인은 Github에 인증된 상태로 그것을 열면 이미지의 링크로 리디렉션된다.
이것을 근거로 하면, 지금도 확실히 JWT 첨부의 링크를 복사해 버리는 리스크가 있으므로, Private인 리포지토리라도, 「무암하게」 개인정보 등 기미 정보를 포함한 화상은 업로드하지 않는 것이
바람직
하다 아닐까 생각합니다.
또, 개인으로 첨부한 화상의 링크를 관리하는 경우는, 화상 파일을 드래그&드롭 했을 때에 마크다운 형식으로 자동으로 작성되는 링크의 쪽은 유효 기한을 가지지 않는 링크가 되기 때문에, 이쪽을 관리하는 것이 바람직하지 않을까 생각합니다.
private repository라도 접근이 가능한 것 같으니 주의해서 작성해야 될 것 같다.
특히 개인 정보가 들어 있는 내용을 올리는 것은 더더욱 좋지 않다는 것을 명심해야겠다.
- Total
- Today
- Yesterday
- java 폴더구조 구하기
- java 설정
- jstl 커스텀 태그
- mybatis Merge
- Database#transaction
- JSP 세션
- java 압축 풀기
- jstl foreach
- 전자정부프레임워크 tiles
- POE Excel 만들기
- Kotlin
- 코루틴
- POI EXCEL
- coroutine
- JSTL
- spring property
- github image 첨부시 주의할점
- MyBatis 팁
- java calendar
- jstl split
- java 특정문자 갯수구하기
- spring ExcelView
- java 설치
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |