安全工程师Luke Marshall对GitLab云服务进行了大规模扫描，使用秘密扫描工具TruffleHog检查了约560万个GitLab公开仓库，最终确认有超过1.7万组凭证在扫描时仍可正常使用，涵盖云服务密钥、API访问令牌和平台专用Token。

Luke Marshall此次研究的目标是全面掌握GitLab所有公开仓库中凭证泄露的整体情况，而非仅抽样少数项目。他通过GitLab公开API列出所有标记为公开的项目，构建了约560万个仓库列表，并交由TruffleHog进行扫描。扫描结果显示，这些有效凭证分布在约2,804个域名或组织中，类型以云服务和SaaS服务密钥为主，其中Google云平台凭证是最常见的一类。

他估算，平均每1,060个GitLab公开仓库中，就至少存在一组仍可使用的GCP凭证。部分凭证甚至出现在2009年的提交记录中，虽然这些记录可能是从旧系统或其他平台导入的，但仍被验证为有效。这表明，只要组织未主动轮换或吊销，密钥就可能在代码历史中存活十年以上。

由于仓库数量庞大，Luke Marshall将整个扫描流程部署在AWS云平台上。他先使用本地程序将560万个GitLab仓库名称放入AWS Simple Queue Service队列，再由大量启动的AWS Lambda函数取出任务，调用TruffleHog进行扫描并返回结果。

该研究显示，凭证泄露存在平台本地化现象：TruffleHog在GitLab公开仓库中共发现406组仍可使用的GitLab凭证，但在Bitbucket仅发现16组GitLab凭证。Luke Marshall指出，开发者在自己最常使用的平台上，更容易意外提交该平台自身的访问密钥。

研究中发现了一个由个人邮箱提交的Slack Token，经后续分析确认，该Token实际属于某企业的Slack与Okta登录环境。该案例在负责任披露后被评定为最高优先级，并获得2,100美元奖励。Luke Marshall在过程中协助多家企业吊销泄露凭证，并通过漏洞报告与奖励计划累计获得超过9,000美元报酬。

Luke Marshall此前曾采用相同方法扫描Bitbucket公开仓库，当时检查约260万个项目，发现6,212组仍有效的凭证，累计获得约1万美元奖励。与本次GitLab结果相比，GitLab上的有效凭证数量约为Bitbucket的三倍，但奖励金额却相近，表明凭证泄露的数量与实际风险未必成正比。此外，Luke Marshall提醒，代码托管平台中的长期有效云服务与平台密钥，需要企业通过定期的大规模自动化扫描主动发现并吊销，避免多年未轮换的密钥长期暴露在代码历史中。