Kako skenirati GitHub skladište vjerodajnica?

Saznajte sadrži li vaše GitHub skladište osjetljive informacije poput lozinke, tajnog ključa, povjerljivosti itd.


GitHub milioni korisnika koriste za hostiranje i dijeljenje kodova. Fantastično je, ali ponekad vi / programeri / vlasnici koda možete slučajno izbaciti povjerljive podatke u javno spremište, što može biti katastrofa.

Puno je incidenata u kojima su na GitHub procurili povjerljivi podaci. Ne možete eliminirati ljudsku pogrešku, ali možete poduzeti mjere da to smanjite.

Kako osiguravate da spremište ne sadrži lozinku ili ključ?

Jednostavan odgovor – nemojte prodavati.

Ali u stvarnosti ne možete kontrolirati ponašanje drugih ljudi ako rade u timu.

Zahvaljujući sljedećem rješenju, koje vam pomaže pronaći pogreške u vašem spremištu.

Gittyleaks

Besplatan uslužni program temeljen na pitonu za pronalaženje riječi poput korisnika, lozinke, e-pošte u nizu, config ili JSON formata.

Gittyleaks može se instalirati pomoću pip-a i imati mogućnost pronalaska sumnjivih podataka.

Tajne skeniranja

GitHub ima tajne značajka skeniranja koji skenira skladišta i provjerava jesu li slučajno počinjene tajne. Prepoznavanje i ispravljanje takvih ranjivosti pomaže u sprečavanju napadača da pronađu i lažno koriste tajne za pristup uslugama s povlasticama ugroženog računa.

Ključni sadržaji uključuju;

  • GitHub pomaže skenirati i otkriti tajne slučajno skrivene, pa vam omogućuje sprječavanje curenja podataka i kompromisa.
  • Može skenirati i javna i privatna spremišta, upozoravajući pružatelje usluga koji su izdali otkrivene tajne radi ublažavanja
  • Za privatna spremišta, GitHub upozorava vlasnike ili administratore organizacije i također prikazuje upozorenje u spremištu.

Git Secrets

Objavio je AWS Labs, kao što možete i nagađati po nazivu – skeniraće tajne. Git Secrets korisno bi bilo spriječiti počinjanje AWS ključeva dodavanjem obrasca.

Omogućuje vam rekurzivno skeniranje datoteke ili mape. Ako sumnjate da vaše skladište projekata može sadržavati AWS ključ, to bi bilo izvrsno mjesto za početak.

Repo nadzornik

Repo nadzornik Autor Auth0 omogućuje vam da pronađete pogrešne konfiguracije, lozinku itd.

To je alat bez poslužitelja koji se može instalirati u Docker spremnik ili bilo koji poslužitelj pomoću NPM-a.

Svinja tartufa

Jedan od popularnih programa za otkrivanje tajni posvuda, uključujući i grane, čini povijest.

Svinja tartufa pretraži pomoću regexa i entropije, a rezultat se ispisuje na zaslonu.

Možete instalirati pomoću pip-a

pip uvesti truffleHog

Git Hound

Git dodatak temeljen na GO, Git Hound, pomaže u sprječavanju da osjetljivi podaci budu počinjeni u spremištu protiv PCRE (Perl Compatible Regular Express).

Dostupan je u binarnoj verziji za Windows, Linux, Darwin itd. Korisno ako nemate instaliran GO.

Gitrob

Gitrob olakšava analizu nalaza na web sučelju. Temelji se na Go, pa je to preduvjet.

osmatračnica

AI-skener za otkrivanje API ključeva, tajni, osjetljivih informacija. Radar API-ja za gledanje tornja omogućuje vam integraciju s GitHub javnim ili privatnim spremištem, AWS-om, GitLabom, Twilio-om itd. Rezultati skeniranja dostupni su na web sučelju ili CLI izlazu.

Repo sigurnosni skener

Repo sigurnosni skener je alat naredbenog retka koji vam pomaže otkriti lozinke, tokene, privatne ključeve i druge tajne koje su se slučajno počinile na git repo-u pri guranju osjetljivih podataka.

Ovo je jednostavan alat koji istražuje cijelu povijest repo-a i u kratkom vremenu daje rezultate skeniranja. Skeniranje vam omogućuje prepoznavanje i rješavanje potencijalnih sigurnosnih ranjivosti koje otkrivene tajne uvode u softver otvorenog koda.

GitGuardian

GitGuardian je alat koji omogućuje programerima, timovima za sigurnost i usklađenost da nadgledaju GitHub aktivnost u stvarnom vremenu i identificiraju ranjivosti zbog otkrivenih tajni poput API tokena, sigurnosnih potvrda, vjerodajnica baze podataka itd..

Alat za skeniranje omogućuje timovima da provode sigurnosne politike u privatnom i javnom kodu, kao iu drugim izvorima podataka.

Glavne značajke GitGuardian su;

  • Alat pomaže pronaći osjetljive informacije poput tajni u privatnom izvornom kodu,
  • Identificirajte i ispravite osjetljive podatke o javnom GitHub-u,
  • To je učinkovit, transparentan i jednostavan za postavljanje alata za otkrivanje tajni
  • Šira pokrivenost i sveobuhvatna baza podataka koja pokriva gotovo sve osjetljive podatke u riziku
  • Sofisticirane tehnike podudaranja uzoraka koje poboljšavaju postupak otkrivanja i učinkovitost.

Zaključak

Nadam se da vam ovo daje ideju pronalaženja osjetljivih podataka u GitHub skladištu. Ako tražite tajno upravljanje, a zatim pogledajte ovaj članak za moguća rješenja.

OZNAKE:

  • Otvoreni izvor

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map