世界的に人気の分散型バージョン管理システム「git」。今や開発者以外にも広まりつつある人気ソフトとなっていますが、その分管理ディレクトリ「.git」の取り扱いがおろそかになりがちなのかもしれません。
テクニカルコンサルタントのJamie Brown氏はブログ記事「One in every 600 websites has .git exposed」にて、多くのWebサイトが誤って.gitフォルダを公開してしまっている事実に警鐘を鳴らしています(Hacker News)。
600に1の割合で.gitフォルダが公開される
氏は、個人プロジェクトで150万件におよぶドメインデータベースを作成し、それらドメインのうち2,402のサイトが.gitフォルダを間違って公開・ダウンロード可能にしている事実を指摘しています。割合でいうと1/600で、0.16%のWebサイトが危険な状態にあったことになります。
もちろん中には無害な情報しか含まないgitリポジトリも存在したようですが、データベースのパスワードや、Amazon AWSやGoogle CloudなどのAPIキー、FTPの設定、さらにはSQLファイルのバックアップや、個人情報を含むCSVファイルなど、重要な機密情報が含まれているリポジトリも存在していたそうです。
今すぐ.gitディレクトリが含まれないことをチェック
これを踏まえ開発者に対し、.gitフォルダが間違って公開されていないか今すぐチェックすることを推奨しています。
http://www.yourdomain.com/.git/
開発者やWeb担当者は上記フォルダが存在していないことを確認しておいたほうが良いでしょう。
また、apacheの設定ファイル.htaccessによる.gitディレクトリへのアクセス禁止設定も推奨しています。具体的な方法はMake .git directory web inaccessibleでの議論が参考になるかもしれません。