Como verificar o repositório do GitHub em busca de credenciais?

Descubra se o seu repositório GitHub contém informações confidenciais, como senha, chave secreta, confidencial, etc..


GitHub é usado por milhões de usuários para hospedar e compartilhar os códigos. É fantástico, mas às vezes você / desenvolvedores / proprietários de código podem despejar acidentalmente informações confidenciais em um repositório público, o que pode ser um desastre..

Existem muitos incidentes em que dados confidenciais vazaram no GitHub. Você não pode eliminar o erro humano, mas pode tomar medidas para reduzir esse.

Como você garante que seu repositório não contenha uma senha ou chave?

Resposta simples – não armazene.

Mas, na realidade, você não pode controlar o comportamento de outras pessoas se estiver trabalhando em equipe.

Graças à seguinte solução, que ajuda a encontrar erros no seu repositório.

Gittyleaks

Um utilitário gratuito baseado em python para encontrar palavras como usuário, senha, email nos formatos string, config ou JSON.

Gittyleaks pode ser instalado usando pip e tem uma opção para encontrar dados suspeitos.

Digitalização de segredos

GitHub tem segredos recurso de digitalização que varre os repositórios para verificar se há segredos acidentalmente confirmados. Identificar e corrigir essas vulnerabilidades ajuda a impedir que os invasores encontrem e usem fraudulentamente os segredos para acessar serviços com os privilégios da conta comprometida.

Os principais destaques incluem;

  • O GitHub ajuda a varrer e detectar os segredos ocultos acidentalmente, permitindo que você evite vazamentos e comprometimentos de dados.
  • Ele pode verificar repositórios públicos e privados, alertando os provedores de serviços que emitiram os segredos detectados para mitigação
  • Para repositórios particulares, o GitHub alerta os proprietários ou administradores da organização e também exibe um aviso no repositório.

Segredos do Git

Lançado pelo AWS Labs, como você pode adivinhar pelo nome – ele procura os segredos. Segredos do Git seria útil para impedir o comprometimento de chaves da AWS adicionando um padrão.

Permite procurar um arquivo ou pasta recursivamente. Se você suspeitar que o repositório do projeto possa conter a chave da AWS, esse seria um excelente ponto de partida.

Supervisor de Repo

Supervisor de Repo por Auth0 permite encontrar erros de configuração, senha, etc..

É uma ferramenta sem servidor que pode ser instalada dentro de um contêiner do Docker ou em qualquer servidor usando o NPM.

Trufa de Porco

Um dos utilitários populares para encontrar segredos em todos os lugares, incluindo filiais, confirmar histórico.

Trufa de Porco pesquisa usando regex e entropia, e o resultado é impresso na tela.

Você pode instalar usando pip

pip instalar trufa

Git Hound

Um plugin git baseado no GO, Git Hound, ajuda a impedir que dados confidenciais sejam confirmados em um repositório contra PCRE (expressões regulares compatíveis com Perl).

Está disponível em uma versão binária para Windows, Linux, Darwin, etc. Útil se você não tiver o GO instalado.

Gitrob

Gitrob facilita a análise da descoberta em uma interface da web. É baseado no Go, portanto, esse é um pré-requisito.

Torre de vigia

Scanner com inteligência artificial para detectar chaves de API, segredos e informações confidenciais. API do radar da torre de vigia permite integrar-se ao repositório público ou privado do GitHub, AWS, GitLab, Twilio, etc. Os resultados da verificação estão disponíveis em uma interface da Web ou saída da CLI.

Repo Security Scanner

Scanner de segurança Repo é uma ferramenta de linha de comando que ajuda a descobrir senhas, tokens, chaves privadas e outros segredos acidentalmente comprometidos com o repositório git ao enviar dados confidenciais.

Essa é uma ferramenta fácil de usar que investiga todo o histórico do repositório e fornece os resultados da verificação em pouco tempo. A verificação permite identificar e solucionar as possíveis vulnerabilidades de segurança que os segredos expostos introduzem no software de código aberto.

GitGuardian

GitGuardian é uma ferramenta que permite que desenvolvedores, equipes de segurança e conformidade monitorem a atividade do GitHub em tempo real e identifiquem vulnerabilidades devido a segredos expostos, como tokens de API, certificados de segurança, credenciais de banco de dados, etc..

A ferramenta de verificação permite que as equipes apliquem políticas de segurança em código público e privado, bem como em outras fontes de dados.

Os principais recursos do GitGuardian são;

  • A ferramenta ajuda a encontrar informações confidenciais, como segredos no código-fonte privado,
  • Identifique e corrija vazamentos de dados confidenciais no GitHub público,
  • É uma ferramenta eficaz, transparente e fácil de configurar para detectar segredos
  • Cobertura mais ampla e banco de dados abrangente para cobrir quase todas as informações confidenciais em risco
  • Técnicas sofisticadas de correspondência de padrões que melhoram o processo de descoberta e a eficácia.

Conclusão

Espero que isso lhe dê uma idéia de encontrar dados confidenciais no repositório GitHub. Se você está procurando gerenciamento secreto, então confira este artigo para possíveis soluções.

TAG:

  • Código aberto

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map