Hoe kan ek GitHub-bewaarplek vir geloofsbriewe skandeer?

Kyk of u GitHub-bewaarplek sensitiewe inligting bevat, soos wagwoord, geheime sleutel, vertroulik, ens.


GitHub word deur miljoene gebruikers gebruik om die kodes te host en te deel. Dit is fantasties, maar soms kan u / ontwikkelaars / kode-eienaars per ongeluk vertroulike inligting in ‘n openbare bewaarplek stort, wat ‘n ramp kan wees.

Daar is baie voorvalle waar vertroulike data op GitHub uitgelek is. U kan nie menslike foute uitskakel nie, maar kan stappe neem om dit te verminder.

Hoe kan u verseker dat u bewaarplek nie ‘n wagwoord of sleutel bevat nie??

Eenvoudige antwoord – moenie stoor nie.

Maar in werklikheid kan u nie die gedrag van ander mense beheer as u in ‘n span werk nie.

Danksy die volgende oplossing, wat u help om foute in u bewaarplek te vind.

Gittyleaks

‘N Python-gebaseerde gratis hulpmiddel om woorde soos ‘n gebruiker, wagwoord, e-pos in ‘n string-, config- of JSON-formaat te vind.

Gittyleaks kan geïnstalleer word met behulp van pip en het die opsie om verdagte data te vind.

Geheime skandering

GitHub het geheime skandering funksie wat die bewaarplekke skandeer om seker te maak dat daar geheime per ongeluk begaan is. Deur sulke kwesbaarhede te identifiseer en op te los, kan dit help dat aanvallers die geheime opspoor en bedrieglik gebruik om toegang tot dienste met die voorgeskrewe rekening se voorregte te kry.

Belangrike hoogtepunte sluit in;

  • Die GitHub help om die geheime wat per ongeluk weggesteek is, te soek en op te spoor, waardeur u data lekkasies en kompromieë kan voorkom.
  • Dit kan beide openbare en private bewaarplekke skandeer terwyl diensverskaffers wat die opgespoorde geheime uitgereik het, gewaarsku word om versagting te bewerkstellig
  • Vir private bewaarplekke waarsku GitHub die organisasie-eienaars of -administrateurs en vertoon dit ook ‘n waarskuwing in die bewaarplek.

Git geheime

Soos u met die naam kan raai, word dit deur AWS Labs uitgereik – dit soek die geheime. Git geheime sou u help om AWS-sleutels te gebruik deur ‘n patroon by te voeg.

Hiermee kan u rekursief na ‘n lêer of gids soek. As u vermoed dat u projekbewaarplek AWS-sleutel bevat, is dit ‘n uitstekende plek om te begin.

Repo toesighouer

Repo toesighouer deur Auth0 kan u foutkonfigurasie, wagwoord, ens. vind.

Dit is ‘n bedienerlose hulpmiddel wat geïnstalleer kan word in ‘n Docker-houer of enige bediener wat NPM gebruik.

Truffelhog

Geskiedenis is een van die gewilde hulpbronne om geheime oral te vind, insluitend takke.

Truffelhog soek met behulp van regex en entropie, en die resultaat word op die skerm gedruk.

U kan installeer met behulp van pip

pip installeer truffleHog

Git Hound

‘N Git plugin gebaseer op GO, Git Hound, help om te voorkom dat sensitiewe data in ‘n bewaarplek teen PCRE gepleeg word (Perl Compatible Regular Expressions).

Dit is beskikbaar in ‘n binêre weergawe vir Windows, Linux, Darwin, ens. Nuttig as GO nie geïnstalleer is nie.

Gitrob

Gitrob maak dit vir u maklik om die bevinding op ‘n web-koppelvlak te ontleed. Dit is gebaseer op Go, so dit is die voorvereiste.

Watchtower

AI-aangedrewe skandeerder om API-sleutels, geheime en sensitiewe inligting op te spoor. Watchtower Radar API kan u integreer met GitHub-openbare of private bewaarplek, AWS, GitLab, Twilio, ens. Die skanderingsresultate is beskikbaar op ‘n web-koppelvlak of CLI-uitvoer.

Repo-sekuriteitsskandeerder

Herbeplan sekuriteitsskandeerder is ‘n opdragreëlinstrument wat u help om wagwoorde, tekens, privaat sleutels en ander geheime te ontdek wat per ongeluk aan die git-repo begaan is wanneer u sensitiewe data stoot.

Dit is ‘n maklik-om-te-gebruik instrument wat die volledige repo-geskiedenis ondersoek en die skanderingsresultate binne ‘n kort tyd bied. Met die skandering kan u die potensiële sekuriteits kwesbaarhede identifiseer en aanspreek wat geheime blootstelling in die open source-sagteware oplewer.

GitGuardian

GitGuardian is ‘n instrument wat ontwikkelaars, sekuriteits- en nakomingspanne in staat stel om die GitHub-aktiwiteit intyds te monitor en kwesbaarhede te identifiseer as gevolg van blootgestelde geheime soos API-tekens, sekuriteitsertifikate, databasisbewyse, ens..

Die skanderingsinstrument stel die spanne in staat om sekuriteitsbeleide in privaat en openbare kode sowel as in ander databronne af te dwing.

GitGuardiaanse belangrikste kenmerke is;

  • Die instrument help om sensitiewe inligting soos geheime in die private bronkode te vind,
  • Identifiseer en herstel sensitiewe datalekkasies op openbare GitHub,
  • Dit is ‘n effektiewe, deursigtige en maklik om geheime-opsporingshulpmiddel op te stel
  • Breedere dekking en uitgebreide databasis om byna alle sensitiewe inligting te dek
  • Gesofistikeerde patroonbypassingstegnieke wat die ontdekkingsproses en effektiwiteit verbeter.

Afsluiting

Ek hoop dit gee u ‘n idee om sensitiewe data in die GitHub-bewaarplek te vind. As u op soek is geheime bestuur, kyk dan na hierdie artikel vir moontlike oplossings.

Tags:

  • Oop bron

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map