Как сканировать GitHub репозиторий на наличие учетных данных?

Узнайте, содержит ли ваш репозиторий GitHub конфиденциальную информацию, такую ​​как пароль, секретный ключ, конфиденциальный и т. Д..


GitHub используется миллионами пользователей для размещения и обмена кодами. Это фантастика, но иногда вы / разработчики / владельцы кода можете случайно сбросить конфиденциальную информацию в публичный репозиторий, что может привести к катастрофе.

Есть много случаев, когда конфиденциальные данные были пропущены на GitHub. Вы не можете устранить человеческую ошибку, но можете принять меры, чтобы уменьшить это.

Как вы убедитесь, что ваш репозиторий не содержит пароль или ключ?

Простой ответ – не хранить.

Но на самом деле, вы не можете контролировать поведение других людей, работая в команде.

Благодаря следующему решению, которое поможет вам найти ошибки в вашем хранилище.

Gittyleaks

Бесплатная утилита на основе Python для поиска слов, таких как пользователь, пароль, электронная почта, в виде строки, конфигурации или JSON..

Gittyleaks может быть установлен с помощью pip и иметь возможность найти подозрительные данные.

Секреты сканирования

GitHub имеет секреты функция сканирования это сканирует репозитории, чтобы проверить случайно переданные секреты. Выявление и устранение таких уязвимостей помогает предотвратить поиск и мошенническое использование злоумышленниками секретов для доступа к службам с привилегиями скомпрометированной учетной записи..

Ключевые моменты включают в себя;

  • GitHub помогает сканировать и обнаруживать секреты, скрытые случайно, что позволяет вам предотвращать утечки данных и компрометации.
  • Он может сканировать как общедоступные, так и частные репозитории, одновременно предупреждая поставщиков услуг, которые выдавали обнаруженные секреты, для смягчения.
  • Для частных репозиториев GitHub предупреждает владельцев или администраторов организации, а также отображает предупреждение в репозитории..

Git Secrets

Выпущенный AWS Labs, как вы можете догадаться по названию – он ищет секреты. Git Secrets было бы полезно предотвратить фиксацию ключей AWS, добавив шаблон.

Это позволяет рекурсивно сканировать файл или папку. Если вы подозреваете, что ваш репозиторий проекта может содержать ключ AWS, то это было бы отличным местом для начала.

Репо Супервайзер

Репо Супервайзер по Auth0 позволяет найти неверную конфигурацию, пароль и т. д..

Это серверный инструмент, который можно установить внутри контейнера Docker или любого сервера с помощью NPM.

Трюфель Боров

Одна из популярных утилит для поиска секретов повсюду, в том числе ветвях, фиксации истории.

Трюфель Боров поиск с использованием регулярных выражений и энтропии, и результат выводится на экран.

Вы можете установить с помощью pip

pip install truffleHog

Git Hound

Git плагин на основе GO, Git Hound, помогает предотвратить фиксацию конфиденциальных данных в репозитории против PCRE (регулярные выражения, совместимые с Perl).

Он доступен в двоичной версии для Windows, Linux, Darwin и т. Д. Полезно, если у вас не установлен GO.

Gitrob

Gitrob облегчает анализ результатов поиска в веб-интерфейсе. Он основан на Go, так что это является обязательным условием.

сторожевая башня

AI-powered сканер для обнаружения ключей API, секретов, конфиденциальной информации. Сторожевая башня Радар API позволяет интегрироваться с общедоступным или частным репозиторием GitHub, AWS, GitLab, Twilio и т. д. Результаты сканирования доступны через веб-интерфейс или через интерфейс командной строки..

Repo Security Scanner

Репо сканер безопасности это инструмент командной строки, который помогает вам находить пароли, токены, закрытые ключи и другие секреты, случайно переданные в git-репо при отправке конфиденциальных данных.

Это простой в использовании инструмент, который исследует всю историю репо и предоставляет результаты сканирования в течение короткого времени. Сканирование позволяет выявлять и устранять потенциальные уязвимости безопасности, которые раскрывают секреты, представленные в программном обеспечении с открытым исходным кодом..

GitGuardian

GitGuardian это инструмент, который позволяет разработчикам, командам по безопасности и соответствию отслеживать работу GitHub в режиме реального времени и выявлять уязвимости из-за открытых секретов, таких как токены API, сертификаты безопасности, учетные данные базы данных и т. д..

Инструмент сканирования позволяет командам применять политики безопасности в частном и общедоступном коде, а также в других источниках данных..

GitGuardian основные функции;

  • Инструмент помогает найти конфиденциальную информацию, такую ​​как секреты в частном исходном коде,
  • Выявление и устранение утечек конфиденциальных данных в общедоступном GitHub.,
  • Это эффективный, прозрачный и простой в настройке инструмент обнаружения секретов.
  • Более широкий охват и обширная база данных, чтобы охватить практически любую конфиденциальную информацию, подверженную риску
  • Сложные методы сопоставления с образцом, которые улучшают процесс обнаружения и эффективность.

Вывод

Я надеюсь, что это даст вам представление о том, как найти конфиденциальные данные в репозитории GitHub. Если вы ищете секретное управление, затем проверьте эту статью для возможных решений.

TAGS:

  • Открытый исходный код

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map