Kako skenirati GitHub repozitorij za poverilnice?

Ugotovite, ali vaše skladišče GitHub vsebuje občutljive podatke, kot so geslo, tajni ključ, zaupni itd.


GitHub milijoni uporabnikov uporabljajo za gostovanje in skupno rabo kod. To je fantastično, vendar včasih vi / razvijalci / lastniki kode lahko slučajno izpišete zaupne podatke v javno skladišče, kar je lahko katastrofa.

Obstaja veliko incidentov, ko so na GitHubu pricurljali zaupni podatki. Človeške napake ne morete odpraviti, vendar lahko ukrep zmanjšate.

Kako zagotovite, da vaše skladišče ne vsebuje gesla ali ključa?

Preprost odgovor – ne shranjujte.

V resnici pa ne morete nadzorovati vedenja drugih ljudi, če delate v timu.

Zahvaljujemo se naslednji rešitvi, ki vam pomaga najti napake v vašem skladišču.

Gittyleaks

Prosti pripomoček, ki temelji na pythonu, za iskanje besed, kot so uporabnik, geslo, e-pošta v nizu, config ali JSON.

Gittyleaks je mogoče namestiti s pomočjo pipa in imeti možnost iskanja sumljivih podatkov.

Skrivnosti skeniranja

GitHub ima skrivnosti funkcija skeniranja ki skenira skladišča in preveri, ali so skrivnosti nenamerno storile. Prepoznavanje in odpravljanje takšnih ranljivosti prepreči, da bi napadalci našli skrivnosti za lažno uporabo skrivnosti za dostop do storitev s privilegiranimi računi..

Ključni poudarki vključujejo;

  • GitHub pomaga skenirati in odkriti skrivne skrivnosti, kar vam omogoča, da preprečite uhajanje podatkov in kompromise.
  • Pregleduje lahko tako javna kot zasebna skladišča, hkrati pa opozarja ponudnike storitev, ki so izdali odkrite skrivnosti, da jih omilijo
  • Za zasebna skladišča GitHub opozori lastnike ali skrbnike organizacij in v repozitoriju prikaže tudi opozorilo.

Git Secrets

Izdal jih je AWS Labs, kot lahko ugibate po imenu – pregleda skrivnosti. Git Secrets bi pomagalo preprečiti zagon ključev AWS z dodajanjem vzorca.

Omogoča vam, da datoteke ali mape skenirate rekurzivno. Če sumite, da vaše skladišče projektov vsebuje ključ AWS, bi bilo to odličen kraj za začetek.

Repo nadzornik

Repo nadzornik avtor Auth0 vam omogoča, da najdete napačno konfiguracijo, geslo itd.

To je orodje brez strežnika, ki ga je mogoče namestiti znotraj Dockerjevega vsebnika ali katerega koli strežnika z uporabo NPM.

Tartuf svinja

Eden od priljubljenih pripomočkov za iskanje skrivnosti povsod, vključno z vejami, zavezuje zgodovino.

Tartuf svinja iskanje s pomočjo regularnih izrazov in entropije, rezultat pa se natisne na zaslonu.

Namestite lahko s pomočjo pipa

pip namestite truffleHog

Git Hound

Git vtičnik, ki temelji na GO, Git Hound, pomaga preprečiti, da bi se občutljivi podatki zavezali v skladišče proti PCRE (Perl Compatible Regular Expressions).

Na voljo je v binarni različici za Windows, Linux, Darwin itd. Koristno, če nimate nameščenega GO-ja.

Gitrob

Gitrob olajša analizo ugotovitev na spletnem vmesniku. Temelji na Go, zato je to predpogoj.

Stražni stolp

Optični bralnik za zaznavanje ključev, skrivnosti, občutljivih informacij API-ja. Radar API-jev za nadzor omogoča integracijo z javnim ali zasebnim skladiščem GitHub, AWS, GitLab, Twilio itd. Rezultati skeniranja so na voljo na spletnem vmesniku ali izhodu CLI.

Repo varnostni skener

Repo varnostni skener je orodje z ukazno vrstico, ki vam pomaga odkriti gesla, žetone, zasebne ključe in druge skrivnosti, ki so po naključju zavedene v git repo med potiskanjem občutljivih podatkov.

To je enostavno za uporabo orodje, ki razišče celotno zgodovino repoja in v kratkem času zagotovi rezultate skeniranja. S skeniranjem lahko prepoznate in rešite potencialne varnostne ranljivosti, ki jih izpostavljene skrivnosti uvajajo v odprtokodni programski opremi.

GitGuardian

GitGuardian je orodje, ki omogoča razvijalcem, skupinam za varnost in skladnost, da v realnem času spremljajo dejavnost GitHub in prepoznajo ranljivosti zaradi izpostavljenih skrivnosti, kot so žetoni API, varnostni certifikati, poverilnice baz podatkov itd..

Orodje za skeniranje ekipam omogoča izvajanje varnostnih pravil v zasebnem in javnem kodu ter v drugih virih podatkov.

Glavne lastnosti GitGuardian so;

  • Orodje pomaga najti občutljive podatke, kot so skrivnosti v zasebni izvorni kodi,
  • Prepoznajte in odpravite občutljiva uhajanja podatkov na javnem GitHubu,
  • Je učinkovito, pregledno in enostavno nastavljivo orodje za odkrivanje skrivnosti
  • Širša pokritost in obsežna baza podatkov za skoraj vse ogrožene občutljive informacije
  • Prefinjene tehnike ujemanja vzorcev, ki izboljšujejo postopek odkrivanja in učinkovitost.

Zaključek

Upam, da vam to daje idejo o iskanju občutljivih podatkov v skladišču GitHub. Če iščete tajno upravljanje, nato pa v tem članku poiščite možne rešitve.

Oznake:

  • Odprtokodno

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map