Làm cách nào để quét Kho lưu trữ GitHub cho Thông tin xác thực?

Tìm hiểu xem kho lưu trữ GitHub của bạn có chứa thông tin nhạy cảm như mật khẩu, khóa bí mật, bí mật, v.v..


GitHub được sử dụng bởi hàng triệu người dùng để lưu trữ và chia sẻ mã. Nó rất tuyệt, nhưng đôi khi bạn / nhà phát triển / chủ sở hữu mã có thể vô tình đổ thông tin bí mật vào kho lưu trữ công cộng, đây có thể là một thảm họa.

Có nhiều sự cố trong đó dữ liệu bí mật đã bị rò rỉ trên GitHub. Bạn có thể loại bỏ lỗi của con người nhưng có thể thực hiện hành động để giảm bớt điều đó.

Làm thế nào để bạn đảm bảo kho lưu trữ của bạn không chứa mật khẩu hoặc khóa?

Câu trả lời đơn giản – cửa hàng don.

Nhưng trong thực tế, bạn có thể kiểm soát hành vi của người khác nếu làm việc theo nhóm.

Nhờ giải pháp sau, giúp bạn tìm ra lỗi trong kho lưu trữ của mình.

Gittyleaks

Tiện ích miễn phí dựa trên python để tìm các từ như người dùng, mật khẩu, email theo định dạng chuỗi, cấu hình hoặc JSON.

Gittyleaks có thể được cài đặt bằng pip và có tùy chọn tìm dữ liệu đáng ngờ.

Quét bí mật

GitHub có những bí mật tính năng quét quét các kho lưu trữ để kiểm tra các bí mật vô tình phạm phải. Xác định và sửa các lỗ hổng như vậy giúp ngăn chặn kẻ tấn công tìm và lừa đảo sử dụng các bí mật để truy cập các dịch vụ với các đặc quyền của tài khoản bị xâm phạm.

Những điểm nổi bật chính bao gồm;

  • GitHub giúp quét và phát hiện các bí mật vô tình ẩn do đó cho phép bạn ngăn chặn rò rỉ và thỏa hiệp dữ liệu.
  • Nó có thể quét cả kho lưu trữ công cộng và riêng tư trong khi cảnh báo các nhà cung cấp dịch vụ đã ban hành các bí mật được phát hiện để giảm thiểu
  • Đối với các kho lưu trữ riêng tư, GitHub thông báo cho chủ sở hữu tổ chức hoặc quản trị viên và cũng hiển thị cảnh báo trong kho lưu trữ.

Bí mật Git

Được phát hành bởi AWS Labs, như bạn có thể đoán theo tên – nó quét các bí mật. Bí mật Git sẽ hữu ích trong việc ngăn chặn các khóa AWS bằng cách thêm một mẫu.

Nó cho phép bạn quét một tập tin hoặc thư mục theo cách đệ quy. Nếu bạn nghi ngờ kho lưu trữ dự án của bạn có thể chứa khóa AWS, thì đây sẽ là một nơi tuyệt vời để bắt đầu.

Giám sát Repo

Giám sát Repo bởi Auth0 cho phép bạn tìm cấu hình sai, mật khẩu, v.v..

Nó có một công cụ không có máy chủ có thể được cài đặt bên trong một Docker container hoặc bất kỳ máy chủ nào sử dụng NPM.

Truffle Hog

Một trong những tiện ích phổ biến để tìm bí mật ở mọi nơi, bao gồm các chi nhánh, cam kết lịch sử.

Truffle Hog tìm kiếm bằng regex và entropy và kết quả được in trên màn hình.

Bạn có thể cài đặt bằng pip

Pip cài đặt truffleHog

Chó săn

Một plugin git dựa trên GO, Chó săn, giúp ngăn chặn dữ liệu nhạy cảm được cam kết trong kho lưu trữ chống lại PCRE (Biểu thức chính quy tương thích Perl).

Nó có sẵn trong phiên bản nhị phân cho Windows, Linux, Darwin, v.v … Hữu ích nếu bạn không cài đặt GO.

Gitrob

Gitrob giúp bạn dễ dàng phân tích tìm kiếm trên giao diện web. Nó khác dựa trên Go, do đó, điều kiện tiên quyết.

Tháp canh

Máy quét hỗ trợ AI để phát hiện các khóa API, bí mật, thông tin nhạy cảm. API Radar của tháp canh cho phép bạn tích hợp với kho lưu trữ công cộng hoặc riêng tư của GitHub, AWS, GitLab, Twilio, v.v. Kết quả quét có sẵn trên giao diện web hoặc đầu ra CLI.

Máy quét an ninh Repo

Máy quét an ninh Repo là một công cụ dòng lệnh giúp bạn khám phá mật khẩu, mã thông báo, khóa riêng và các bí mật khác vô tình được cam kết với repo git khi đẩy dữ liệu nhạy cảm.

Đây là một công cụ dễ sử dụng để điều tra toàn bộ lịch sử repo và cung cấp kết quả quét trong một thời gian ngắn. Quá trình quét cho phép bạn xác định và giải quyết các lỗ hổng bảo mật tiềm ẩn mà các bí mật được tiết lộ giới thiệu trong phần mềm nguồn mở.

GitGuardian

GitGuardian là một công cụ cho phép các nhà phát triển, bảo mật và nhóm tuân thủ giám sát hoạt động GitHub trong thời gian thực và xác định các lỗ hổng do các bí mật bị lộ như mã thông báo API, chứng chỉ bảo mật, thông tin cơ sở dữ liệu, v.v..

Công cụ quét cho phép các nhóm thực thi các chính sách bảo mật bằng mã riêng và mã công khai cũng như trong các nguồn dữ liệu khác.

Các tính năng chính của GitGuardian là;

  • Công cụ giúp tìm thông tin nhạy cảm như bí mật trong mã nguồn riêng,
  • Xác định và khắc phục rò rỉ dữ liệu nhạy cảm trên GitHub công khai,
  • Nó là một công cụ phát hiện bí mật hiệu quả, minh bạch và dễ dàng
  • Bảo hiểm rộng hơn và cơ sở dữ liệu toàn diện để bao quát hầu hết mọi thông tin nhạy cảm có nguy cơ
  • Các kỹ thuật khớp mẫu tinh vi giúp cải thiện quá trình khám phá và hiệu quả.

Phần kết luận

Tôi hy vọng điều này cung cấp cho bạn ý tưởng tìm kiếm dữ liệu nhạy cảm trong kho GitHub. Nếu bạn đang tìm kiếm quản lý bí mật, sau đó kiểm tra bài viết này để biết các giải pháp khả thi.

THẺ

  • Mã nguồn mở

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map