Hogyan lehet beolvasni a GitHub tárolót a hitelesítő adatokhoz?

Tudja meg, hogy a GitHub tárház érzékeny információkat tartalmaz – például jelszó, titkos kulcs, bizalmas stb.


GitHub több millió felhasználó használja a kódok tárolására és megosztására. Fantasztikus, de néha Ön / fejlesztő / kódtulajdonos véletlenül elrabolhatja a bizalmas információkat egy nyilvános tárolóba, ami katasztrófa lehet.

Sok olyan esemény történt, amikor bizalmas adatok szivárogtak a GitHub-on. Nem tudja kiküszöbölni az emberi hibákat, de intézkedéseket hozhat ennek csökkentésére.

Hogyan biztosíthatja, hogy az adattár nem tartalmaz jelszót vagy kulcsot?

Egyszerű válasz – ne tárolja.

De a valóságban nem ellenőrizheti más emberek viselkedését, ha egy csapatban dolgozik.

A következő megoldásnak köszönhetően, amely segít megtalálni a hibákat az adattárban.

Gittyleaks

A python-alapú ingyenes segédprogram a szavak, például a felhasználó, a jelszó, az e-mail keresése karakterlánc, konfiguráció vagy JSON formátumban.

Gittyleaks a pip segítségével telepíthető, és lehetősége van gyanús adatok megtalálására.

Titkok szkennelése

A GitHubnak vannak titkai szkennelési funkció amely megvizsgálja az adattárakat, hogy ellenőrizze a véletlenül elkövetett titkokat. Az ilyen sebezhetőségek azonosítása és kijavítása segít megakadályozni, hogy a támadók megtalálják és csalárd módon használják a titkokat, hogy hozzáférjenek a szolgáltatásokhoz a sértett fiók privilégiumaival..

A legfontosabb kiemelések a következők;

  • A GitHub segít a véletlenül elrejtett titkok beolvasásában és felismerésében, lehetővé téve ezzel az adatszivárgások és a kompromisszumok megelőzését..
  • Beolvashatja mind a nyilvános, mind a magánraktárakat, miközben figyelmezteti a szolgáltatókat, akik enyhítették az észlelt titkokat
  • Magán adattárak esetén a GitHub figyelmezteti a szervezet tulajdonosát vagy rendszergazdáját, és figyelmeztetést is megjelenít a tárolóban.

Git titkai

Az AWS Labs kiadta, amint a névből kitalálható – a titkokat keresi. Git titkai hasznos lehet az AWS-kulcsok elkövetésének megakadályozására mintázat hozzáadásával.

Ez lehetővé teszi egy fájl vagy mappa rekurzív keresését. Ha gyanítja, hogy a projekt-tárház tartalmazhat AWS-kulcsot, akkor ez kiváló indulási hely.

Repo felügyelő

Repo felügyelő az Auth0 segítségével lehetővé teszi téves konfigurációk, jelszavak stb. megtalálását.

Ez egy kiszolgáló nélküli eszköz, amely telepíthető egy Docker tárolóba vagy bármely NPM-et használó kiszolgálóra.

Szarvasgomba disznó

Az egyik népszerű segédprogram, amellyel titkokat találhat mindenütt, beleértve az ágakat is, és történeteket követ el.

Szarvasgomba disznó keresés a regex és az entrópia segítségével, és az eredmény kinyomtatódik a képernyőn.

Telepítheti a pip segítségével

pip install truffleHog

Git kutya

A GO alapú Git plugin, Git kutya, segít megakadályozni, hogy a rejtett adatok a lerakatban PCRE (Perl kompatibilis rendszeres kifejezések) ellen elköteleződjenek.

Bináris változatban érhető el Windows, Linux, Darwin stb. Számára. Hasznos, ha még nincs telepítve a GO.

Gitrob

Gitrob megkönnyíti az elemzést a webes felületen. Ez a Go-n alapul, tehát ez előfeltétele.

Watchtower

AI-alapú szkenner az API kulcsok, titkok és érzékeny információk észlelésére. Őrtorony Radar API lehetővé teszi a GitHub nyilvános vagy magánraktárba, az AWS-hez, a GitLab-hoz, a Twilio-hoz stb. való integrálást. A vizsgálati eredmények elérhetők egy webes felületen vagy a CLI kimeneten.

Repo biztonsági szkenner

Repo biztonsági szkenner egy parancssori eszköz, amely segít a jelszavak, tokenek, magánkulcsok és egyéb titkok felfedezésében, amelyek véletlenül elkötelezettek a git repo számára, amikor érzékeny adatokat tolnak.

Ez egy könnyen használható eszköz, amely megvizsgálja a teljes repóelőzményt, és rövid időn belül biztosítja a vizsgálati eredményeket. A szkennelés lehetővé teszi az esetleges biztonsági rések azonosítását és kiküszöbölését, amelyeket a feltárt titkok a nyílt forrású szoftverben vezetnek be.

GitGuardian

GitGuardian egy olyan eszköz, amely lehetővé teszi a fejlesztők, a biztonság és a megfelelőséggel foglalkozó csapatok számára a GitHub tevékenység valós időben történő figyelemmel kísérését és a feltárt titkok (például API tokenek, biztonsági tanúsítványok, adatbázis hitelesítő adatok stb.) által okozott sérülékenységek azonosítását..

A szkennelő eszköz lehetővé teszi a csapatok számára a biztonsági irányelvek érvényesítését a magán- és nyilvános kódokban, valamint más adatforrásokban.

A GitGuardian főbb jellemzői;

  • Az eszköz segít érzékeny információk, például titkok megtalálásában a privát forráskódban,
  • Az érzékeny adatszivárgások azonosítása és javítása a nyilvános GitHubon,
  • Ez egy hatékony, átlátható és könnyen beállítható titokérzékelő eszköz
  • Szélesebb lefedettség és átfogó adatbázis, amely szinte bármilyen veszélyeztetett információt lefed
  • Kifinomult mintázat-illesztési technikák, amelyek javítják a felfedezés folyamatát és hatékonyságát.

Következtetés

Remélem, ez ad ötletet arra, hogy érzékeny adatokat találjon a GitHub tárházban. Ha keres titkos menedzsment, majd nézze meg ezt a cikket a lehetséges megoldásokért.

CÍMKÉK:

  • Nyílt forráskód

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map