Wie scanne ich GitHub Repository nach Anmeldeinformationen?

Finden Sie heraus, ob Ihr GitHub-Repository vertrauliche Informationen wie Passwort, geheimer Schlüssel, vertraulich usw. Enthält.


GitHub wird von Millionen von Benutzern zum Hosten und Teilen der Codes verwendet. Es ist fantastisch, aber manchmal können Sie / Entwickler / Codebesitzer versehentlich vertrauliche Informationen in einem öffentlichen Repository ablegen, was eine Katastrophe sein kann.

Es gibt viele Vorfälle, in denen vertrauliche Daten auf GitHub verloren gingen. Sie können menschliches Versagen nicht beseitigen, aber Maßnahmen ergreifen, um dies zu reduzieren.

Wie stellen Sie sicher, dass Ihr Repository kein Kennwort oder keinen Schlüssel enthält??

Einfache Antwort – nicht speichern.

In Wirklichkeit können Sie das Verhalten anderer Personen nicht kontrollieren, wenn Sie in einem Team arbeiten.

Dank der folgenden Lösung können Sie Fehler in Ihrem Repository finden.

Gittyleaks

Ein Python-basiertes kostenloses Dienstprogramm zum Suchen von Wörtern wie Benutzer, Kennwort, E-Mail in einer Zeichenfolge, Konfiguration oder JSON-Formaten.

Gittyleaks kann mit pip installiert werden und bietet die Möglichkeit, verdächtige Daten zu finden.

Scannen von Geheimnissen

GitHub hat Geheimnisse Scanfunktion Dadurch werden die Repositorys nach versehentlich festgeschriebenen Geheimnissen durchsucht. Durch das Erkennen und Beheben solcher Sicherheitsanfälligkeiten wird verhindert, dass Angreifer die Geheimnisse finden und betrügerisch verwenden, um auf Dienste mit den Berechtigungen des gefährdeten Kontos zuzugreifen.

Wichtige Highlights sind:

  • Der GitHub hilft dabei, die versehentlich verborgenen Geheimnisse zu scannen und zu erkennen, sodass Sie Datenlecks und Kompromisse vermeiden können.
  • Es kann sowohl öffentliche als auch private Repositorys scannen und gleichzeitig Dienstanbieter benachrichtigen, die die erkannten Geheimnisse zur Schadensbegrenzung herausgegeben haben
  • Bei privaten Repositorys benachrichtigt GitHub die Eigentümer oder Administratoren der Organisation und zeigt auch eine Warnung im Repository an.

Git Secrets

Wie Sie anhand des Namens erraten können, wird es von AWS Labs veröffentlicht und sucht nach den Geheimnissen. Git Secrets Dies ist hilfreich, um das Festschreiben von AWS-Schlüsseln durch Hinzufügen eines Musters zu verhindern.

Sie können damit rekursiv nach einer Datei oder einem Ordner suchen. Wenn Sie den Verdacht haben, dass Ihr Projekt-Repository einen AWS-Schlüssel enthält, ist dies ein hervorragender Ausgangspunkt.

Repo Supervisor

Repo Supervisor Mit Auth0 können Sie Fehlkonfigurationen, Kennwörter usw. finden.

Es ist ein serverloses Tool, das mithilfe von NPM in einem Docker-Container oder einem beliebigen Server installiert werden kann.

Trüffelschwein

Eines der beliebtesten Hilfsmittel, um überall Geheimnisse zu finden, einschließlich Filialen, um Geschichte zu schreiben.

Trüffelschwein Suchen Sie mit Regex und Entropie, und das Ergebnis wird auf dem Bildschirm gedruckt.

Sie können mit pip installieren

pip install truffleHog

Git Hound

Ein Git-Plugin basierend auf GO, Git Hound, verhindert, dass vertrauliche Daten in einem Repository gegen PCRE (Perl Compatible Regular Expressions) festgeschrieben werden..

Es ist in einer Binärversion für Windows, Linux, Darwin usw. verfügbar. Nützlich, wenn Sie GO nicht installiert haben.

Gitrob

Gitrob erleichtert Ihnen die Analyse des Befundes auf einer Weboberfläche. Es basiert auf Go, das ist also Voraussetzung.

Wachturm

KI-gestützter Scanner zum Erkennen von API-Schlüsseln, Geheimnissen und vertraulichen Informationen. Wachtturm Radar API Ermöglicht die Integration in das öffentliche oder private GitHub-Repository, AWS, GitLab, Twilio usw. Die Scanergebnisse sind auf einer Weboberfläche oder einer CLI-Ausgabe verfügbar.

Repo-Sicherheitsscanner

Repo-Sicherheitsscanner ist ein Befehlszeilentool, mit dem Sie Kennwörter, Token, private Schlüssel und andere Geheimnisse erkennen können, die beim Übertragen vertraulicher Daten versehentlich an das Git-Repo übertragen wurden.

Dies ist ein benutzerfreundliches Tool, das den gesamten Repo-Verlauf untersucht und die Scanergebnisse innerhalb kurzer Zeit liefert. Mit dem Scan können Sie die potenziellen Sicherheitslücken identifizieren und beheben, die durch die Offenlegung von Geheimnissen in der Open-Source-Software entstehen.

GitGuardian

GitGuardian ist ein Tool, mit dem Entwickler, Sicherheits- und Compliance-Teams die GitHub-Aktivitäten in Echtzeit überwachen und Schwachstellen aufgrund offengelegter Geheimnisse wie API-Token, Sicherheitszertifikate, Datenbankanmeldeinformationen usw. identifizieren können.

Mit dem Scan-Tool können die Teams Sicherheitsrichtlinien in privatem und öffentlichem Code sowie in anderen Datenquellen durchsetzen.

Die Hauptfunktionen von GitGuardian sind:

  • Das Tool hilft dabei, vertrauliche Informationen wie Geheimnisse im privaten Quellcode zu finden,
  • Identifizieren und beheben Sie vertrauliche Datenlecks auf öffentlichen GitHub,
  • Es ist ein effektives, transparentes und einfach einzurichtendes Tool zur Erkennung von Geheimnissen
  • Breitere Abdeckung und umfassende Datenbank für nahezu alle sensiblen Informationen, die einem Risiko ausgesetzt sind
  • Ausgefeilte Mustervergleichstechniken, die den Erkennungsprozess und die Effektivität verbessern.

Fazit

Ich hoffe, dies gibt Ihnen eine Vorstellung davon, wie Sie vertrauliche Daten im GitHub-Repository finden. Wenn Sie suchen geheime Verwaltung, Dann lesen Sie diesen Artikel nach möglichen Lösungen.

STICHWORTE:

  • Open Source

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map