文章总结： MysteriumVPN团队2026年研究发现近500万台Web服务器暴露Git元数据，其中超25万台服务器的.git/config文件包含有效部署凭证。此类配置错误源于部署失误、隐藏文件夹启用及服务器默认未阻止访问，可导致源代码泄露、凭证窃取及供应链攻击。美国、德国和法国为受影响最严重地区。修复需阻断公开访问、隔离生产环境Git数据并轮换泄露凭证，同时通过服务器规则、密钥管理和监控进行预防。 综合评分： 78 文章分类： 漏洞分析,安全建设,应用安全,数据安全,漏洞预警

研发人员注意代码环境安全：研究发现近500万台Web服务器暴露Git元数据

原创

ZM ZM

暗镜

2026年2月7日 10:53 北京

Mysterium VPN 研究团队在 2026 年进行的一项新研究表明，近 500 万个公共 Web 服务器正在暴露 Git 存储库元数据——其中超过 25 万个服务器正在暴露.git/config包含部署凭据的文件。

此类配置错误使得攻击者能够重构源代码、窃取机密信息并获得直接访问权限。由于部署错误、隐藏文件夹被启用以及服务器默认情况下未阻止这些文件夹，导致小错误演变为严重安全漏洞，该问题依然存在。

一些关键结论： • 发现 496 万个 IP 地址的 .git 目录可公开访问。 • 252,733 个 .git/config 文件包含有效的部署凭据（约占 5%）。 • 美国、德国和法国是受影响地区最多的国家。 • 暴露的元数据可能导致凭据被盗、恶意提交和云访问。

这不仅仅是技术上的疏忽，而是一个影响全球网站和组织的、波及互联网的广泛漏洞。

研究表明，暴露的 Git 服务器集中在主要的托管中心，其中美国居首，其次是欧洲和亚太地区。暴露的 .git 文件夹会导致源代码被盗、凭证被滥用、供应链攻击、内部映射以及横向迁移到云端和第三方服务，往往会将简单的配置错误演变成重大安全漏洞。

修复暴露的 .git 文件夹意味着阻止公共访问、将 Git 数据排除在生产环境之外，并轮换所有泄露的凭据。即使只有 5% 的凭据暴露率，也意味着数十万个可用的密钥。团队应该通过服务器规则、密钥管理、提交前检查、监控和快速响应计划来预防这种情况。

报告总结道：“研究结果凸显了一个普遍存在的问题，这个问题是由部署实践、服务器配置不一致以及对安全性的错误假设造成的。虽然仅暴露 Git 元数据本身就很危险，但如果包含凭据，风险将显著增加，从而导致代码库被接管、供应链攻击以及对云基础设施的访问。 ”

“研究强调，即使凭证泄露的比例很小，在互联网规模下也会造成严重后果，而且攻击者可以轻松地自动发现这些泄露事件。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《研发人员注意代码环境安全：研究发现近500万台Web服务器暴露Git元数据》