Bagaimana cara Memindai GitHub Repository for Kredentials?

Cari tahu apakah repositori GitHub Anda berisi informasi sensitif seperti kata sandi, kunci rahasia, rahasia, dll.


GitHub digunakan oleh jutaan pengguna untuk meng-host dan berbagi kode. Ini fantastis, tetapi kadang-kadang Anda / pengembang / pemilik kode dapat secara tidak sengaja membuang informasi rahasia di repositori publik, yang dapat menjadi bencana.

Ada banyak insiden di mana data rahasia bocor di GitHub. Anda tidak bisa menghilangkan kesalahan manusia tetapi bisa mengambil tindakan untuk mengurangi itu.

Bagaimana Anda memastikan repositori Anda tidak mengandung kata sandi atau kunci?

Jawaban sederhana – jangan disimpan.

Namun pada kenyataannya, Anda tidak dapat mengontrol perilaku orang lain jika bekerja dalam tim.

Berkat solusi berikut ini, yang membantu Anda menemukan kesalahan dalam repositori Anda.

Gittyleaks

Utilitas gratis berbasis python untuk menemukan kata-kata seperti pengguna, kata sandi, email dalam format string, config, atau JSON.

Gittyleaks dapat diinstal menggunakan pip dan memiliki opsi untuk menemukan data yang mencurigakan.

Pemindaian Rahasia

GitHub memiliki rahasia fitur pemindaian yang memindai repositori untuk memeriksa rahasia yang dilakukan secara tidak sengaja. Mengidentifikasi dan memperbaiki kerentanan semacam itu membantu mencegah penyerang menemukan dan secara curang menggunakan rahasia untuk mengakses layanan dengan hak istimewa akun yang disusupi itu..

Sorotan utama meliputi;

  • GitHub membantu memindai dan mendeteksi rahasia yang disembunyikan secara tidak sengaja sehingga memungkinkan Anda untuk mencegah kebocoran dan kompromi data.
  • Itu dapat memindai repositori publik dan pribadi sambil memperingatkan penyedia layanan yang telah mengeluarkan rahasia yang terdeteksi untuk mitigasi
  • Untuk repositori pribadi, GitHub memberitahu pemilik atau administrator organisasi dan juga menampilkan peringatan di repositori.

Rahasia Git

Dirilis oleh AWS Labs, seperti yang dapat Anda tebak dengan namanya – ini memindai rahasia. Rahasia Git akan membantu dalam mencegah melakukan kunci AWS dengan menambahkan pola.

Ini memungkinkan Anda memindai file atau folder secara rekursif. Jika Anda mencurigai repositori proyek Anda mungkin berisi kunci AWS, maka ini akan menjadi tempat yang sangat baik untuk memulai.

Pengawas Repo

Pengawas Repo oleh Auth0 memungkinkan Anda menemukan kesalahan konfigurasi, kata sandi, dll.

Ini adalah alat tanpa server yang dapat dipasang di dalam wadah Docker atau server apa pun yang menggunakan NPM.

Truffle Hog

Salah satu utilitas populer untuk menemukan rahasia di mana-mana, termasuk cabang, membuat sejarah.

Truffle Hog cari menggunakan regex dan entropi, dan hasilnya dicetak di layar.

Anda dapat menginstal menggunakan pip

pip instal truffleHog

Git Hound

Plugin git berdasarkan GO, Git Hound, membantu mencegah data sensitif dikomit dalam repositori terhadap PCRE (Perl Compatible Regular Expressions).

Ini tersedia dalam versi biner untuk Windows, Linux, Darwin, dll. Berguna jika Anda belum menginstal GO.

Gitrob

Gitrob memudahkan Anda untuk menganalisis temuan pada antarmuka web. Ini didasarkan pada Go, jadi itu prasyarat.

Menara Pengawal

Pemindai bertenaga AI untuk mendeteksi kunci API, rahasia, informasi sensitif. API Radar Menara Pengawal memungkinkan Anda mengintegrasikan dengan repositori publik atau pribadi GitHub, AWS, GitLab, Twilio, dll. Hasil pemindaian tersedia pada antarmuka web atau keluaran CLI.

Pemindai Keamanan Repo

Pemindai keamanan repo adalah alat baris perintah yang membantu Anda menemukan kata sandi, token, kunci pribadi, dan rahasia lain yang secara tidak sengaja dilakukan pada git repo ketika mendorong data sensitif.

Ini adalah alat yang mudah digunakan yang menyelidiki seluruh riwayat repo dan memberikan hasil pemindaian dalam waktu singkat. Pemindaian memungkinkan Anda untuk mengidentifikasi dan mengatasi potensi kerentanan keamanan yang diperkenalkan oleh rahasia dalam perangkat lunak sumber terbuka.

GitGuardian

GitGuardian adalah alat yang memungkinkan tim pengembang, keamanan, dan kepatuhan untuk memantau aktivitas GitHub secara real-time dan mengidentifikasi kerentanan karena rahasia yang terbuka seperti token API, sertifikat keamanan, kredensial basis data, dll..

Alat pemindaian memungkinkan tim untuk menegakkan kebijakan keamanan dalam kode pribadi dan publik serta di sumber data lainnya.

Fitur utama GitGuardian adalah;

  • Alat ini membantu menemukan informasi sensitif seperti rahasia dalam kode sumber pribadi,
  • Identifikasi dan perbaiki kebocoran data sensitif pada GitHub publik,
  • Ini adalah alat pendeteksi rahasia yang efektif, transparan dan mudah diatur
  • Cakupan yang lebih luas dan database komprehensif untuk mencakup hampir semua informasi sensitif yang berisiko
  • Teknik pencocokan pola canggih yang meningkatkan proses penemuan dan efektivitas.

Kesimpulan

Saya harap ini memberi Anda ide untuk menemukan data sensitif dalam repositori GitHub. Jika Anda mencari manajemen rahasia, kemudian periksa artikel ini untuk solusi yang mungkin.

TAGS:

  • Sumber Terbuka

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map