説明
アクセス キーは、ユーザーが GitLab や AWS などのソース コード管理 (SCM) システムへのリクエストを認証および承認できるようにする認証情報です。SCM システムとそのデータのセキュリティと整合性が損なわれる可能性があるため、アクセス キーは秘密に保たれ、ソース コード内でプレーン テキストで公開されないようにする必要があります。
組織の SCM ソリューション内でアクセス キーの問題に対処するために考えられるオプションは次のとおりです。
SCM システム内のすべての項目に対するシークレット管理ソリューションのセットアップ: これは、アクセス キー、パスワード、トークン、証明書などのシークレットを安全に保存、管理、配布するツールまたはサービスです。シークレット管理ソリューションは、シークレットの防止に役立ちます。ソースコードまたは設定ファイル内のプレーンテキストで公開されないようにします3456。
コードを SCM システムにコミットするための安全なソフトウェア開発ライフ サイクル (SDLC) プロセスの開発: これは、ソフトウェアの開発、テスト、展開、および保守の方法を定義するフレームワークまたは方法論です。安全な SDLC プロセスは、コード レビュー、静的分析ツール、脆弱性スキャン ツールなど、ソフトウェア開発プロセス全体でセキュリティのベスト プラクティスが確実に遵守されるようにするのに役立ちます。安全な SDLC プロセスは、アクセス キーがコード レビューに含まれることを検出して防止するのに役立ちます。 SCM システムにコミットされる前のソース コード1

説明
以前にスキャンに成功したサーバーをペネトレーション テスターがスキャンできない理由として最も可能性が高いのは、その IP アドレスがブロックリストに載っているためです。ブロックリストは、悪意のある攻撃者によるサーバーのスキャンを防ぐために使用され、サーバーの IP アドレスがブロックリストに含まれている場合、スキャン プロセスはブロックされます。

これらの結果に基づくと、成功する可能性が最も高い攻撃は Heartbleed 攻撃です。Heartbleed 攻撃は、TLS/SSL プロトコルの OpenSSL 実装の脆弱性であり、攻撃者がサーバーのメモリを読み取り、秘密キー、パスワード、セッション トークンなどの機密情報を盗む可能性があります。結果は、Web サイトが Heartbleed 攻撃に対して脆弱な OpenSSL 1.0.1f を使用していることを示しています1。