Kuidas skannida mandaatide GitHubi hoidlat?

Uurige välja, kas teie GitHubi hoidla sisaldab tundlikku teavet, näiteks parool, salajane võti, konfidentsiaalne jne.


GitHub Seda kasutavad miljonid kasutajad koodide hostimiseks ja jagamiseks. See on fantastiline, kuid mõnikord võivad teie / arendajad / koodide omanikud avalikus hoidlas juhuslikult konfidentsiaalse teabe minema viia, mis võib olla katastroof.

GitHubis on levinud palju konfidentsiaalseid andmeid. Inimlikke vigu ei saa kõrvaldada, kuid võite selle vähendamiseks midagi ette võtta.

Kuidas tagada, et teie hoidla ei sisalda parooli ega võtit?

Lihtne vastus – ärge hoidke.

Kuid tegelikult ei saa meeskonnas töötades teiste inimeste käitumist kontrollida.

Tänu järgmisele lahendusele, mis aitab teil hoidlas vigu leida.

Gittyleaks

Pythonil põhinev tasuta utiliit sõnade, näiteks kasutaja, parooli, e-posti leidmiseks stringi, konfiguratsiooni või JSON-vormingus.

Gittyleaks saab paigaldada pipi abil ja neil on võimalus leida kahtlasi andmeid.

Saladuste skannimine

GitHubil on saladusi skaneerimise funktsioon mis skannib hoidlaid juhuslikult toime pandud saladuste kontrollimiseks. Selliste haavatavuste tuvastamine ja parandamine aitab takistada ründajatel saladusi leida ja neid pettusega kasutada, et pääseda teenustele juurde kahjustatud konto privileegidega.

Peamised olulisemad punktid hõlmavad;

  • GitHub aitab juhuslikult peidetud saladusi skannida ja tuvastada, võimaldades teil vältida andmete lekkeid ja kompromisse..
  • See võib skannida nii avalikke kui ka eraviisilisi andmehoidlaid, teavitades samal ajal teenusepakkujaid, kes on avastanud tuvastatud saladused
  • Privaatsete hoidlate puhul teavitab GitHub organisatsiooni omanikke või administraatoreid ning hoiatuses kuvatakse ka hoiatus.

Git saladused

Välja andnud AWS Labs, nagu nime järgi võite arvata – see otsib saladusi. Git saladused oleks mustri lisamisega abiks AWS-võtmete sidumise ärahoidmisel.

See võimaldab teil rekursiivselt faili või kausta otsida. Kui arvate, et teie projektihoidlas võib olla AWS-võti, oleks see hea koht alustamiseks.

Repo juhendaja

Repo juhendaja autori Auth0 abil saate leida valesti konfigureeritud andmeid, paroole jms.

See on serverita tööriist, mida saab installida Dockeri konteinerisse või mõnda NPM-i kasutavasse serverisse.

Trühvlikann

Üks populaarsemaid utiliite saladuste leidmiseks kõikjal, sealhulgas filiaalides, ajalugu siduma.

Trühvlikann otsige regexi ja entroopia abil ning tulemus trükitakse ekraanile.

Installida saab pipi abil

pip install truffleHog

Git hagijas

GO-põhine pistikprogramm, Git hagijas, aitab vältida tundlike andmete kinnipidamist hoidlas PCRE (Perli ühilduvad tavalised avaldised) vastu.

See on saadaval binaarses versioonis Windowsi, Linuxi, Darwini jne jaoks. Kasulik, kui teil pole GO installitud.

Gitrob

Gitrob muudab leidmise hõlpsaks analüüsimiseks veebiliidese abil. See põhineb Go-l, nii et see on eeltingimus.

Vaatetorn

AI-toega skanner API-võtmete, saladuste ja tundliku teabe tuvastamiseks. Vaatetornide radari API võimaldab teil integreerida GitHubi avaliku või privaatse hoidla, AWS, GitLab, Twilio jne abil. Skaneerimise tulemused on saadaval veebiliidese või CLI-väljundi kaudu.

Repo turvaskanner

Repo turvaskanner on käsurida, mis aitab tundlike andmete tõukamisel paroolid, märgid, privaatvõtmed ja muud saladused, mis on juhuslikult seotud git repoga, avastada.

See on hõlpsasti kasutatav tööriist, mis uurib kogu repo ajalugu ja tagab skaneerimise tulemused lühikese aja jooksul. Skaneerimine võimaldab teil tuvastada ja kõrvaldada võimalikud turvaaukud, mida avatud saladusega saladused avatud lähtekoodiga tarkvaras pakuvad.

GitGuardian

GitGuardian on tööriist, mis võimaldab arendajatel, turvalisuse ja vastavusmeeskondadel jälgida GitHubi tegevust reaalajas ja tuvastada paljastatud saladustest (nt API-lubade turbisertifikaadid, andmebaasi mandaadid jne) põhjustatud turvaauke..

Skaneerimisriist võimaldab meeskondadel rakendada turvapoliitikaid nii privaatses kui avalikus koodis, aga ka muudes andmeallikates.

GitGuardian peamised omadused on;

  • Tööriist aitab privaatses lähtekoodis leida tundlikku teavet, näiteks saladusi,
  • Tuvastage ja parandage tundliku teabe lekked avalikus GitHubis,
  • See on tõhus, läbipaistev ja hõlpsasti seadistatav saladuste tuvastamise tööriist
  • Laiem leviala ja ulatuslik andmebaas peaaegu kogu tundliku teabe katmiseks
  • Keerukad mustrite sobitamise tehnikad, mis parandavad avastamisprotsessi ja tõhusust.

Järeldus

Loodetavasti annab see teile idee tundlike andmete leidmiseks GitHubi hoidlast. Kui otsite salajane juhtimine, siis uurige sellest artiklist võimalike lahendusi.

Sildid:

  • Avatud lähtekoodiga

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map