Как исправить уязвимость в firebase, обнаруженную .git

Question

Я недавно получил электронное письмо в результате предполагаемого открытого сканирования: https://smitka.me/

В нем говорится:

Проблема в том, что у вас есть общедоступный репозиторий git на вашем сайте. Вы можете проверить это, посетив /.git/HEAD. Когда вы посещаете каталог /.git, вы обычно получаете ошибку 403, потому что нет файла index.html / .php и вы не разрешаете показывать список каталогов / autoindex (если вы видите структуру каталогов, у вас неправильно настроенный веб-сервер - это еще один тип уязвимости). Несмотря на 403 можно получить доступ к файлам напрямую. Именно так я нашел ваш адрес электронной почты - из /.git/logs/HEAD - это список коммитов с подробной информацией о коммиттерах.

Я не эксперт в этой области, и я просто развернул свой сайт с помощью консоли Firebase. У меня есть папка под контролем версий с помощью Git, и Снимок экрана покажет вам структуру папки в корне папки проекта со скрытыми файлами.

В приведенной выше ссылке приведены примеры мер по смягчению, но я думаю, что они предназначены для людей, контролирующих их сервер - я запускаю хостинг Firebase и, похоже, такого контроля не имею.

Вопросы:

1. Это уязвимость безопасности?
2. Если так, как я могу смягчить это?

Answer 1

Наименьшее усилие может потребоваться для исключения каталога .git из развертывания с firebase.json:

{
  "database": {
    "rules": "database.rules.json"
  },
  "hosting": {
    ...
    "ignore": [
      "README.md",
      "firebase.json",
      ".firebaserc",
      ".git",
      ".gitignore",
      ".idea",
      ...
    ]
  }
}

Суть в том, чтобы развернуть только то, что необходимо для обслуживания страницы.