Ako skenovať úložisko GitHub pre poverenia?

Zistite, či vaše úložisko GitHub obsahuje citlivé informácie, ako napríklad heslo, tajný kľúč, dôverné informácie atď.


GitHub používajú milióny používateľov na hosťovanie a zdieľanie kódov. Je to fantastické, ale niekedy môžete vy / vývojári / vlastníci kódu náhodne vyhodiť dôverné informácie do verejného úložiska, čo môže byť katastrofa.

Existuje veľa nehôd, pri ktorých došlo k úniku dôverných údajov na serveri GitHub. Ľudskú chybu nemôžete odstrániť, ale môžete ju podniknúť kroky na jej zníženie.

Ako zabezpečíte, aby úložisko neobsahovalo heslo ani kľúč?

Jednoduchá odpoveď – neukladajte.

Ak však pracujete v tíme, v skutočnosti nemôžete ovládať správanie ostatných ľudí.

Vďaka nasledujúcemu riešeniu, ktoré vám pomôže nájsť chyby vo vašom úložisku.

Gittyleaks

Bezplatný nástroj založený na pythone pri hľadaní slov, ako je používateľ, heslo, e-mail v reťazci, konfigurácia alebo formát JSON.

Gittyleaks môžu byť nainštalované pomocou pip a majú možnosť nájsť podozrivé údaje.

Skrytie tajomstiev

GitHub má tajomstvá funkcia skenovania ktorý prehľadáva archívy a zisťuje náhodne spáchané tajomstvá. Identifikácia a oprava takýchto zraniteľností pomáha zabrániť útočníkom v hľadaní a podvodnom používaní tajomstiev na prístup k službám s oprávneniami kompromitovaného účtu..

Medzi hlavné body patrí;

  • GitHub pomáha skenovať a odhaľovať náhodne skryté tajomstvá, čo vám umožňuje zabrániť úniku údajov a kompromisom.
  • Môže skenovať verejné aj súkromné ​​archívy a upozorňovať poskytovateľov služieb, ktorí vydali zistené tajomstvá, na zmiernenie
  • V prípade súkromných úložísk služba GitHub upozorní vlastníkov alebo správcov organizácie a tiež zobrazí varovanie v úložisku..

Git Secrets

Vydané spoločnosťou AWS Labs, ako môžete uhádnuť podľa názvu – vyhľadáva tajomstvá. Git Secrets by bolo užitočné pri predchádzaní spáchaniu kľúčov AWS pridaním vzoru.

Umožňuje vám vyhľadať súbor alebo priečinok rekurzívne. Ak máte podozrenie, že vaše úložisko projektu môže obsahovať kľúč AWS, bolo by to vynikajúce miesto na spustenie.

Repo supervízor

Repo supervízor pomocou Autor0 umožňuje nájsť nesprávne nastavenie, heslo atď.

Je to nástroj bez servera, ktorý sa dá nainštalovať do kontajnera Docker alebo na ľubovoľný server pomocou NPM.

Hľuzovka hľuzovky

Jeden z populárnych nástrojov na hľadanie tajomstiev všade, vrátane pobočiek, histórie záväzkov.

Hľuzovka hľuzovky Vyhľadajte pomocou regulárnych výrazov a entropie a výsledok sa vytlačí na obrazovku.

Môžete nainštalovať pomocou pip

pip install hľuzovka

Git Hound

Git plugin založený na GO, Git Hound, pomáha predchádzať tomu, aby sa citlivé údaje ukladali do úložiska proti PCRE (Perl Compatible Regular Expressions).

Je k dispozícii v binárnej verzii pre Windows, Linux, Darwin atď. Užitočné, ak nemáte nainštalovaný GO.

Gitrob

Gitrob uľahčuje vám analýzu nálezu na webovom rozhraní. Je založená na Go, to je predpoklad.

strážna veža

Skener AI na detekciu kľúčov API, tajomstiev a citlivých informácií. Rozhranie API radaru Strážnej veže umožňuje integráciu s verejným alebo súkromným úložiskom GitHub, AWS, GitLab, Twilio atď. Výsledky kontroly sú k dispozícii na webovom rozhraní alebo na výstupe CLI..

Opakujte bezpečnostný skener

Opakujte bezpečnostný skener je nástroj príkazového riadku, ktorý vám pomôže objaviť heslá, tokeny, súkromné ​​kľúče a ďalšie tajomstvá, ktoré sa náhodne dopustili git repo pri tlačení citlivých údajov.

Jedná sa o ľahko použiteľný nástroj, ktorý skúma celú históriu repo a poskytuje výsledky skenovania v krátkom čase. Skenovanie umožňuje identifikovať a riešiť potenciálne bezpečnostné chyby, ktoré odhalené tajomstvá predstavujú v softvéri s otvoreným zdrojom.

GitGuardian

GitGuardian je nástroj, ktorý vývojárom, bezpečnostným tímom a tímom pre dodržiavanie súladu umožňuje monitorovať aktivitu GitHub v reálnom čase a identifikovať zraniteľné miesta v dôsledku odhalených tajomstiev, ako sú tokeny API, bezpečnostné certifikáty, poverenia databázy atď..

Skenovací nástroj umožňuje tímom presadiť bezpečnostné politiky v súkromnom a verejnom kóde, ako aj v iných zdrojoch údajov.

Hlavné vlastnosti GitGuardian sú;

  • Tento nástroj pomáha nájsť citlivé informácie, napríklad tajomstvá, v súkromnom zdrojovom kóde,
  • Identifikujte a opravte úniky citlivých údajov vo verejnej sieti GitHub,
  • Je to efektívny, transparentný a ľahko nastaviteľný nástroj na zisťovanie tajomstiev
  • Širšie pokrytie a komplexná databáza pokrývajúca takmer všetky citlivé informácie, ktoré sú ohrozené
  • Sofistikované techniky porovnávania vzorov, ktoré zlepšujú proces zisťovania a efektívnosť.

záver

Dúfam, že vám to poskytne predstavu o nájdení citlivých údajov v úložisku GitHub. Ak hľadáte tajné riadenie, potom si pozrite v tomto článku možné riešenia.

Tagy:

  • Open Source

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map