چگونه مخزن GitHub را برای اعتبارنامه اسکن کنیم؟

دریابید که آیا مخزن GitHub شما حاوی اطلاعات حساس مانند رمز عبور ، کلید مخفی ، محرمانه و غیره است.


GitHub توسط میلیونها کاربر برای میزبانی و به اشتراک گذاری کدها استفاده می شود. این خارق العاده است ، اما گاهی اوقات شما / توسعه دهندگان / دارندگان کد می توانید به طور اتفاقی اطلاعات محرمانه را در یک مخزن عمومی رها کنید ، که می تواند یک فاجعه باشد.

حوادث بسیاری وجود دارد که اطلاعات محرمانه در GitHub منتشر شد. شما نمی توانید خطای انسانی را برطرف کنید اما می توانید برای کاهش آن اقدام کنید.

چگونه اطمینان حاصل می کنید که مخزن شما دارای گذرواژه یا کلید نیست?

پاسخ ساده – ذخیره نکنید.

اما در واقعیت ، اگر در یک تیم کار کنید ، نمی توانید رفتار دیگران را کنترل کنید.

با تشکر از راه حل زیر ، که به شما کمک می کند تا در مخزن خود خطایی پیدا کنید.

گیتیلاکس

یک ابزار رایگان مبتنی بر پایتون برای یافتن کلماتی مانند کاربر ، گذرواژه ، ایمیل در قالبهای رشته ، پیکربندی یا JSON.

گیتیلاکس می توان با استفاده از pip نصب کرد و گزینه ای برای یافتن داده های مشکوک در اختیار شما قرار گرفت.

اسکن اسرار

GitHub اسرار دارد ویژگی اسکن که مخازن را اسکن می کند تا اسرار مرتکب شده را بررسی کند. شناسایی و رفع چنین آسیب پذیری ها به جلوگیری از پیدا کردن و جعل استفاده اسرار از اسرار برای دسترسی به خدمات با امتیازات حساب مصالحه جلوگیری می کند..

نکات برجسته کلیدی شامل؛

  • GitHub به اسکن و کشف اسرار پنهان به طور تصادفی کمک می کند از این رو شما را قادر می سازد از نشت داده ها و مصالحه جلوگیری کند..
  • این در حالی است که هشدار می دهد ارائه دهندگان خدمات که اسرار شناسایی شده را برای کاهش صادر کرده اند ، مخازن عمومی و خصوصی را اسکن می کند
  • برای مخازن خصوصی ، GitHub به صاحبان سازمان یا سرپرستان هشدار می دهد و همچنین یک هشدار را در مخزن نشان می دهد.

اسرار Git

همانطور که می توانید با اسم حدس بزنید توسط آزمایشگاه AWS منتشر شده است – این اسرار را اسکن می کند. اسرار Git با افزودن یک الگوی می توان در جلوگیری از ارتکاب کلید AWS مفید بود.

این امکان را به شما می دهد که به صورت بازگشتی یک فایل یا پوشه را اسکن کنید. اگر شک دارید مخزن پروژه شما ممکن است دارای کلید AWS باشد ، در این صورت مکان عالی برای شروع خواهد بود.

سرپرست رپو

سرپرست رپو توسط Auth0 به شما امکان می دهد پیکربندی غلط ، گذرواژه و غیره را پیدا کنید.

این یک ابزار بدون سرور است که می تواند درون یک ظرف داکر یا هر سرور با استفاده از NPM نصب شود.

ترافل هاگ

یکی از ابزارهای رایج برای یافتن اسرار در همه جا ، از جمله شاخه ها ، تاریخ است.

ترافل هاگ با استفاده از regex و آنتروپی جستجو کنید و نتیجه آن روی صفحه چاپ می شود.

می توانید با استفاده از پیپ نصب کنید

pip نصب truffleHog

Git Hound

افزونه git مبتنی بر GO, Git Hound, کمک می کند تا از وقوع داده های حساس در مخازن علیه PCRE جلوگیری شود (بیان منظم سازگار با Perl).

در صورت نصب نکردن GO در نسخه باینری برای Windows ، Linux ، Darwin و غیره مفید است..

گیتروب

گیتروب تجزیه و تحلیل یافته ها را در یک رابط وب آسان می کند. این مبتنی بر Go است ، بنابراین این پیش نیاز است.

برج مراقبت

اسکنر مجهز به هوش مصنوعی برای شناسایی کلیدهای API ، اسرار ، اطلاعات حساس. API رادار Watchtower به شما امکان می دهد تا با مخزن عمومی یا خصوصی GitHub ، AWS ، GitLab ، Twilio و غیره ادغام شوید. نتایج اسکن بر روی یک رابط وب یا خروجی CLI در دسترس است.

اسکنر امنیتی Repo

اسکنر امنیتی مجدد یک ابزار خط فرمان است که به شما کمک می کند گذرواژه‌ها ، نشانه ها ، کلیدهای خصوصی و سایر اسرار را هنگام فشار دادن داده های حساس به repo git متعهد شوید..

این یک ابزار با کاربرد آسان است که کل تاریخچه repo را بررسی می کند و نتایج اسکن را در مدت زمان کوتاهی ارائه می دهد. اسکن به شما امکان می دهد آسیب پذیری های امنیتی احتمالی که اسرار را در نرم افزار منبع باز معرفی می کند ، شناسایی و برطرف کند.

GitGuardian

GitGuardian ابزاری است که توسعه دهندگان ، تیم های امنیتی و انطباق را قادر می سازد فعالیت GitHub را در زمان واقعی رصد کنند و آسیب پذیری های ناشی از رازهای در معرض مانند نشانه های API ، گواهی های امنیتی ، اطلاعات پایگاه داده و غیره را شناسایی کنند..

ابزار اسکن این امکان را به تیمها می دهد که سیاست های امنیتی را در کد خصوصی و عمومی و همچنین در سایر منابع داده اعمال کنند.

ویژگی های اصلی GitGuardian عبارتند از:

  • این ابزار به یافتن اطلاعات حساس مانند اسرار در کد منبع خصوصی کمک می کند,
  • نشت داده های حساس را در GitHub عمومی شناسایی و رفع کنید,
  • این یک ابزار موثر ، شفاف و آسان برای تنظیم ابزارهای کشف اسرار است
  • پوشش گسترده تر و بانک اطلاعاتی جامع برای پوشش تقریبا هر گونه اطلاعات حساس در معرض خطر
  • تکنیک های تطبیق الگوی پیشرفته که باعث بهبود روند کشف و اثربخشی می شوند.

نتیجه

امیدوارم که این ایده به شما امکان پیدا کردن داده های حساس در مخزن GitHub را بدهد. اگر دنبالش هستید مدیریت مخفی, سپس این مقاله را برای راه حلهای ممکن بررسی کنید.

برچسب ها:

  • متن باز

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map