piro-hiroki commented 8 months ago

Githubにcredentialが混入していたらやばいので調査します。

[参考？]

Slackにcredentialを書くな高校校歌
- https://youtu.be/KNVtpfIjOcw?si=v1ZMVrQEgfL1l6Jj
credentialをGitHubに書くなソング〜書くならPushProtectionしろ〜
- https://x.com/GitHubJapan/status/1735103546528600091?s=20

piro-hiroki commented 8 months ago

良さげ https://github.com/secretlint/secretlint

piro-hiroki commented 8 months ago

.gitignoreしている配下のみだから問題ないかな（docker間のSSL/TLS接続通信で使っているポイ?）

MacBook-Air-3 l10dev % docker run -v `pwd`:`pwd` -w `pwd` --rm -it secretlint/secretlint secretlint "**/*"
Unable to find image 'secretlint/secretlint:latest' locally
latest: Pulling from secretlint/secretlint
bca4290a9639: Already exists 
31e174fedd23: Pull complete 
df998480d81d: Pull complete 
e6f4e57cc59e: Pull complete 
2cbff98d444c: Pull complete 
b92f67aef8a2: Pull complete 
Digest: sha256:88d50893acdced82d07b31a838e10be15e40cd6e68858ce52d08a26f29345b69
Status: Downloaded newer image for secretlint/secretlint:latest

/Users/hiroki/l10dev/docker/mysql/ca-key.pem
  1:0  error  [PrivateKey] found private key: -----BEGIN RSA PRIVATE KEY-----
[省略]
-----END RSA PRIVATE KEY-----  @secretlint/secretlint-rule-preset-recommend > @secretlint/secretlint-rule-privatekey

/Users/hiroki/l10dev/docker/mysql/client-key.pem
  1:0  error  [PrivateKey] found private key: -----BEGIN RSA PRIVATE KEY-----
[省略]
-----END RSA PRIVATE KEY-----  @secretlint/secretlint-rule-preset-recommend > @secretlint/secretlint-rule-privatekey

/Users/hiroki/l10dev/docker/mysql/private_key.pem
  1:0  error  [PrivateKey] found private key: -----BEGIN RSA PRIVATE KEY-----
[省略]
-----END RSA PRIVATE KEY-----  @secretlint/secretlint-rule-preset-recommend > @secretlint/secretlint-rule-privatekey

/Users/hiroki/l10dev/docker/mysql/server-key.pem
  1:0  error  [PrivateKey] found private key: -----BEGIN RSA PRIVATE KEY-----
[省略]
-----END RSA PRIVATE KEY-----  @secretlint/secretlint-rule-preset-recommend > @secretlint/secretlint-rule-privatekey

✖ 4 problems (4 errors, 0 warnings)

piro-hiroki commented 8 months ago

（公開前に不要なcotrollerの削除 & 各controllerに最低限のrequest validationを入れた方がいいと思う）

atsukihat commented 8 months ago

@piro-hiroki

385 みたいな入力してデータを送信するような処理以外にも，検索機能などのcontrollerにもvalidationをした方が良いということで認識はあってますでしょうか？

piro-hiroki commented 8 months ago

そうですね、基本的にフレームワーク（Laravel）が対策はしているものの、ユーザーから渡されたデータに対してはバリデーションを入れるべきです。

piro-hiroki commented 8 months ago

@amoon46 公開までにmustでやらないといけない！という感じではないと思います ASAPくらいの温度感なので、先に公開しちゃっても大丈夫かも

atsukihat commented 8 months ago

@piro-hiroki 了解です！ありがとうございます！

YamamotoNagito / l10dev

🚨レポジトリ公開チェック #462

385 みたいな入力してデータを送信するような処理以外にも，検索機能などのcontrollerにもvalidationをした方が良いということで認識はあってますでしょうか？