Как да сканирате GitHub хранилище за удостоверения?

Разберете дали вашето хранилище на GitHub съдържа чувствителна информация като парола, секретен ключ, поверителна и т.н..


GitHub се използва от милиони потребители за хостинг и споделяне на кодовете. Това е фантастично, но понякога вие / разработчици / собственици на кодове можете случайно да изхвърлите поверителна информация в обществено хранилище, което може да бъде катастрофа.

Има много инциденти, при които поверителни данни са изтекли в GitHub. Не можете да премахнете човешката грешка, но можете да предприемете действия, за да я намалите.

Как гарантирате, че вашето хранилище не съдържа парола или ключ?

Прост отговор – не съхранявайте.

Но в действителност не можете да контролирате поведението на други хора, ако работите в екип.

Благодарение на следното решение, което ви помага да намерите грешки в хранилището си.

Gittyleaks

Безплатна програма, базирана на python, за намиране на думи като потребител, парола, имейл в низ, конфигурация или JSON формати.

Gittyleaks може да се инсталира с помощта на pip и да има опция за намиране на подозрителни данни.

Тайните сканиране

GitHub има тайни функция за сканиране който сканира хранилищата, за да провери за случайно извършени тайни. Идентифицирането и коригирането на такива уязвимости помага да се предотврати нападателите да намерят и измамно да използват тайните за достъп до услуги с привилегиите на компрометирания акаунт..

Основните акценти включват;

  • GitHub помага да сканирате и откриете тайните, скрити случайно, което ви позволява да предотвратите изтичане на данни и компромиси.
  • Той може да сканира както публични, така и частни хранилища, като същевременно предупреждава доставчиците на услуги, които са издали откритите тайни за смекчаване
  • За частни хранилища GitHub алармира собствениците или администраторите на организацията и също така показва предупреждение в хранилището.

Git Secrets

Издаден от AWS Labs, както можете да се досетите по името – той сканира тайните. Git Secrets би било полезно за предотвратяване на извършване на клавиши AWS чрез добавяне на шаблон.

Той ви позволява да сканирате файл или папка рекурсивно. Ако подозирате, че вашето хранилище на проекти може да съдържа ключ AWS, тогава това ще бъде отлично място за стартиране.

Репо надзор

Репо надзор от Auth0 ви позволява да намерите неправилна конфигурация, парола и т.н..

Това е инструмент без сървър, който може да бъде инсталиран в контейнер на Docker или на всеки сървър, използвайки NPM.

Трюфелна свиня

Една от популярните програми за намиране на тайни навсякъде, включително клонове, ангажира история.

Трюфелна свиня търсене с помощта на регекс и ентропия и резултатът се отпечатва на екрана.

Можете да инсталирате с помощта на pip

pip инсталирате truffleHog

Git Hound

Git плъгин, базиран на GO, Git Hound, помага да се предотврати ангажирането на чувствителни данни в хранилище срещу PCRE (Perl Compatible Regular Expressions).

Предлага се в двоична версия за Windows, Linux, Darwin и др. Полезно, ако нямате инсталиран GO.

Gitrob

Gitrob улеснява анализа на констатацията в уеб интерфейс. Тя се основава на Go, така че това е предпоставка.

наблюдателница

AI захранван скенер за откриване на API ключове, тайни, чувствителна информация. Radar API за наблюдателни кули ви позволява да се интегрирате с публично или частно хранилище на GitHub, AWS, GitLab, Twilio и др. Резултатите от сканирането са достъпни в уеб интерфейс или CLI изход.

Repo Security Scanner

Repo защитен скенер е инструмент на командния ред, който ви помага да откривате пароли, символи, частни ключове и други тайни, случайно ангажирани с git repo при натискане на чувствителни данни.

Това е лесен за използване инструмент, който изследва цялата история на репо и осигурява резултатите от сканирането за кратко време. Сканирането ви позволява да идентифицирате и адресирате потенциалните уязвими места за защита, които разкритите тайни въвеждат в софтуера с отворен код.

GitGuardian

GitGuardian е инструмент, който дава възможност на разработчици, екипи за сигурност и спазване на изискванията да наблюдават активността на GitHub в реално време и да идентифицират уязвимости поради разкрити тайни като API маркери, сертификати за сигурност, идентификационни данни на базата данни и т.н..

Инструментът за сканиране позволява на екипите да прилагат политики за сигурност в частен и публичен код, както и в други източници на данни.

Основните характеристики на GitGuardian са;

  • Инструментът помага да се намери чувствителна информация като тайни в частния изходен код,
  • Идентифицирайте и коригирайте чувствителни течове на данни в обществен GitHub,
  • Това е ефективен, прозрачен и лесен за настройване инструмент за откриване на тайни
  • По-широко покритие и изчерпателна база данни за покриване на почти всяка чувствителна информация в риск
  • Сложни техники за съвпадение на модели, които подобряват процеса на откриване и ефективността.

заключение

Надявам се това ви дава представа за намиране на чувствителни данни в хранилището на GitHub. Ако търсите тайно управление, след това разгледайте тази статия за възможни решения.

ЕТИКЕТИ:

  • Отворен код

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map