Cum să scanați GitHub Repository pentru acreditări?

Aflați dacă depozitul dvs. GitHub conține informații sensibile, cum ar fi parola, cheia secretă, confidențial etc..


GitHub este folosit de milioane de utilizatori pentru a găzdui și a partaja codurile. Este fantastic, dar uneori, dvs. / dezvoltatorii / proprietarii de coduri puteți arunca accidental informații confidențiale într-un depozit public, care poate fi un dezastru.

Există multe incidente în care datele confidențiale au fost scurse pe GitHub. Nu puteți elimina eroarea umană, dar puteți lua măsuri pentru a reduce aceasta.

Cum vă asigurați că depozitul dvs. nu conține nicio parolă sau cheie?

Răspuns simplu – nu stocați.

Dar, în realitate, nu puteți controla comportamentul altor persoane dacă lucrați în echipă.

Mulțumesc soluției următoare, care te ajută să găsești greșeli în depozitul tău.

Gittyleaks

O utilitate gratuită bazată pe python pentru a găsi cuvinte precum un utilizator, o parolă, un e-mail într-un format string, config sau JSON.

Gittyleaks poate fi instalat folosind pip și are o opțiune de a găsi date suspecte.

Scanarea secretelor

GitHub are secrete caracteristică de scanare care scanează depozitele pentru a verifica secretele comise accidental. Identificarea și remedierea acestor vulnerabilități ajută la prevenirea atacatorilor de a găsi și utiliza în mod fraudulos secretele pentru a accesa serviciile cu privilegiile contului compromis.

Reperele cheie includ;

  • GitHub vă ajută să scanați și să detectați secretele ascunse în mod accidental, permițându-vă astfel să preveniți scurgeri de date și compromisuri.
  • Acesta poate scana depozitele publice și private, în timp ce avertizează furnizorii de servicii care au emis secretele detectate pentru atenuare
  • Pentru depozitele private, GitHub avertizează proprietarii sau administratorii organizației și, de asemenea, afișează un avertisment în depozit.

Secrete Git

Eliberat de AWS Labs, după cum puteți ghici după nume – scanează secretele. Secrete Git ar fi util în prevenirea comiterii cheilor AWS prin adăugarea unui model.

Vă permite să scanați recursiv un fișier sau folder. Dacă bănuiți că depozitul dvs. de proiect poate conține cheie AWS, atunci acesta ar fi un loc excelent pentru a începe.

Supraveghetor Repo

Supraveghetor Repo de Auth0 vă permite să găsiți configurare greșită, parolă etc.

Este un instrument fără server care poate fi instalat într-un container Docker sau orice server cu NPM.

Trufă Hog

Una dintre utilitățile populare de a găsi secrete peste tot, inclusiv sucursale, să comită istoric.

Trufă Hog căutați utilizând regex și entropie, iar rezultatul este imprimat pe ecran.

Puteți instala cu pip

pip instala truffleHog

Git Hound

Un plugin git bazat pe GO, Git Hound, ajută la prevenirea angajării datelor sensibile într-un depozit împotriva PCRE (Perl Compatible Regular Expressies).

Este disponibil într-o versiune binară pentru Windows, Linux, Darwin etc. Este util dacă nu aveți instalat GO.

Gitrob

Gitrob vă ușurează analiza constatării pe o interfață web. Se bazează pe Go, deci este o condiție prealabilă.

Turnul de Veghere

Scaner cu alimentare AI pentru a detecta chei API, secrete, informații sensibile. API-ul Radar Watchtower vă permite să vă integrați cu un depozit public sau privat GitHub, AWS, GitLab, Twilio, etc. Rezultatele scanării sunt disponibile pe o interfață web sau o ieșire CLI.

Scanare de securitate pentru reluare

Repo scaner de securitate este un instrument de linie de comandă care vă ajută să descoperiți parole, jetoane, chei private și alte secrete comise accidental în git repo atunci când împingeți date sensibile.

Acesta este un instrument ușor de utilizat, care investighează întregul istoric repo și oferă rezultatele scanării într-un timp scurt. Scanarea vă permite să identificați și să abordați potențialele vulnerabilități de securitate pe care secretele expuse le introduce în software-ul open-source.

GitGuardian

GitGuardian este un instrument care permite dezvoltatorilor, echipelor de securitate și conformitate să monitorizeze în timp real activitatea GitHub și să identifice vulnerabilitățile datorate secretelor expuse precum jetoane API, certificate de securitate, acreditări de baze de date etc..

Instrumentul de scanare permite echipelor să aplice politicile de securitate în codul privat și public, precum și în alte surse de date.

Caracteristicile majore ale GitGuardian sunt;

  • Instrumentul ajută la găsirea informațiilor sensibile, cum ar fi secretele din codul sursă privat,
  • Identificați și reparați scurgerile de date sensibile pe GitHub public,
  • Este un instrument de detectare a secretelor eficient, transparent și ușor de configurat
  • O acoperire mai largă și o bază de date cuprinzătoare pentru a acoperi aproape orice informație sensibilă la risc
  • Tehnici sofisticate de potrivire a modelelor care îmbunătățesc procesul de descoperire și eficiența.

Concluzie

Sper că asta vă oferă o idee de a găsi date sensibile în depozitul GitHub. Dacă sunteți în căutarea management secret, apoi consultați acest articol pentru posibile soluții.

ETICHETE:

  • Sursa deschisa

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map