Finn ut om GitHub-depotet ditt inneholder sensitiv informasjon som passord, hemmelige nøkler, konfidensiell informasjon, etc.
GitHub brukes av millioner av brukere til å være vert for og dele koder. Det er fantastisk, men noen ganger kan du/utviklere/kodeeiere ved et uhell dumpe konfidensiell informasjon i et offentlig depot, noe som kan være en katastrofe.
Det er mange hendelser der konfidensielle data ble lekket på GitHub. Du kan ikke eliminere menneskelige feil, men kan iverksette tiltak for å redusere det.
Hvordan sikrer du at depotet ditt ikke inneholder passord eller nøkkel?
Enkelt svar – ikke lagre.
Som en beste praksis bør man bruke hemmelig administrasjonsprogramvare for å lagre all sensitiv informasjon.
Men i virkeligheten kan du ikke kontrollere andres oppførsel hvis du jobber i et team.
BTW, hvis du bruker Git til å initialisere og distribuere applikasjonen din, oppretter den .git-mappen, og hvis den er tilgjengelig over Internett, kan den avsløre sensitiv bekreftelse – som du ikke ønsker og bør vurdere å blokkere .git URI.
Følgende løsninger hjelper deg med å finne feil i depotet ditt.
Innholdsfortegnelse
Hemmelig skanning
GitHubs hemmelige skanningsfunksjon er et kraftig verktøy som oppdager tilfeldige hemmeligheter skjult i koden din, og beskytter mot datalekkasjer og kompromisser. Den fungerer sømløst for både offentlige og private depoter, og grer omhyggelig gjennom hver krik og krok for å avdekke eventuelle skjulte hemmeligheter.
Men dens evner fortsetter. Når en hemmelighet er oppdaget, tar GitHub proaktive tiltak ved å varsle de respektive tjenesteleverandørene, og be dem om å redusere potensielle risikoer raskt. Når det gjelder private depoter, går GitHub den ekstra milen ved å varsle organisasjonseiere eller administratorer, for å sikre at de riktige personene i teamet ditt umiddelbart blir gjort oppmerksomme på situasjonen.
For å gi kontinuerlig synlighet, vises advarsler fremtredende i depotet, og fungerer som et tydelig signal for deg og teamet ditt om å iverksette tiltak umiddelbart. GitHubs hemmelige skannefunksjon fungerer som din årvåkne allierte, og jobber flittig for å sikre at ingen hemmelighet går ubemerket hen og at prosjektene dine forblir sikre.
Omfavn kraften til hemmelig skanning og kode trygt, vel vitende om at sensitiv informasjon er beskyttet.
Git-hemmeligheter
La meg introdusere deg for git-secrets, et verktøy som kan redde oss fra flauheten ved å tilfeldigvis legge til hemmeligheter til Git-repositoriene våre. Den skanner commits, commit-meldinger og fusjoner for å forhindre hemmelig lekkasje i koden vår.
For å komme i gang med Windows kjører vi ganske enkelt install.ps1 PowerShell-skriptet. Den kopierer de nødvendige filene til en installasjonsmappe og legger dem til vår bruker PATH. Dette gjør git-hemmeligheter lett tilgjengelige fra hvor som helst i utviklingsmiljøet vårt.
Når den er installert, blir git-secrets vår årvåkne verge, og sjekker om noen commit-, commit-meldinger eller flettehistorikk samsvarer med våre konfigurerte forbudte mønstre. Hvis den oppdager en kamp, avviser den forpliktelsen, og forhindrer at sensitiv informasjon sklir gjennom sprekkene.
Vi kan legge til regulære uttrykksmønstre til en .gitallowed-fil i depotets rotkatalog for å finjustere git-secrets. Dette hjelper til med å filtrere ut alle linjer som kan utløse en advarsel, men som er legitime, og skaper den rette balansen mellom sikkerhet og bekvemmelighet.
Når du skanner en fil, trekker git-secrets ut alle linjer som samsvarer med forbudte mønstre og gir detaljert informasjon, inkludert filstier, linjenumre og de samsvarende linjene. Den sjekker også om de matchede linjene samsvarer med våre registrerte tillatte mønstre. Forpliktelsen eller sammenslåingen anses som trygg hvis tillatte mønstre opphever alle flaggede linjer. Imidlertid blokkerer git-secrets prosessen hvis noen samsvarende linjer ikke samsvarer med et tillatt mønster.
Når vi bruker git-hemmeligheter, må vi være forsiktige. Forbudte mønstre bør ikke være for brede, og tillatte mønstre bør ikke være for ettergivende. Å teste mønstrene våre ved å bruke ad-hoc-kall til git-hemmeligheter – scan $filnavn sikrer at de fungerer etter hensikten.
Hvis du er ivrig etter å dykke dypere inn i git-hemmeligheter eller ønsker å bidra til utviklingen, finner du prosjektet på GitHub. Det er et åpen kildekode-prosjekt som oppmuntrer til samfunnsbidrag. Bli med i fellesskapet og gjør en forskjell!
Med git-hemmeligheter kan vi kode trygt, vel vitende om at tilfeldige hemmeligheter ikke vil sette prosjektene våre i fare. La oss omfavne dette verktøyet og holde vår sensitive informasjon sikker.
Repo veileder
Jeg har denne spennende nyheten: Repo-supervisor er et kraftig verktøy som oppdager hemmeligheter og passord i koden din. Det er en lek å installere det – bare legg til en webhook til GitHub-depotet ditt. Repo-supervisor tilbyr to moduser: skanning av pull-forespørsler på GitHub eller skanning av lokale kataloger fra kommandolinjen. Velg den modusen som passer deg best.
For å ta fatt på reisen din med git-hemmeligheter, besøk GitHub-depotet og last ned den nyeste utgivelsen. Der vil du oppdage pakker skreddersydd for AWS Lambda-distribusjon og en brukervennlig CLI-modus. Med CLI-modusen kan du dykke rett inn uten ekstra oppsett, mens pull request-modusen krever utplassering til AWS Lambda. Velg alternativet som passer dine behov og begynn å utnytte kraften til git-hemmeligheter for å styrke sikkerheten til kodebasen din!
I CLI-modus, oppgi en katalog som et argument, og Repo-supervisor skanner støttede filtyper og behandler hver fil med en tokenizer som er spesifikk for dens type. Den kjører sikkerhetssjekker på utpakkede strenger og gir klare rapporter i ren tekst eller JSON-format.
For pull request-modus behandler Repo-supervisor webhook-nyttelaster, trekker ut modifiserte filer og utfører sikkerhetssjekker på de utpakkede strengene. Hvis det oppdages problemer, setter den CI-statusen til feil, og kobler til rapporten. Ingen problemer betyr en vellykket CI-status.
Repo-supervisor er en fantastisk kodeinspektør som holder våre hemmeligheter og passord sikre. Det sikrer integriteten til kodebasen vår, som er avgjørende i våre profesjonelle liv.
Gi Repo-veileder en prøve! Installer den, konfigurer webhook, og la den skanne etter hemmeligheter og passord. Nyt det ekstra laget med sikkerhet!
Trøffelsvin
Tillat meg å introdusere deg for et utrolig verktøy kalt Truffle Hog. Betrakt det som din lojale kodefølge, og snuser flittig opp alle spor av sensitiv informasjon som lurer i lagrene dine. Truffle Hog er en mester i å dykke dypt inn i prosjektets historie, og skanne omhyggelig etter potensielle lekkasjer av verdifulle hemmeligheter som API-nøkler og passord.
Med sitt arsenal av høyentropisjekker og regex-mønstre, er dette verktøyet klargjort til å avdekke disse skjulte skattene og sikre at koden din forblir sikker. Si farvel til hemmelige lekkasjer og omfavn den årvåkne beskyttelsen til Truffle Hog!
Og her er den beste delen: Truffle Hogs nyeste versjon er fullpakket med mange nye kraftige funksjoner. Den har nå over 700 legitimasjonsdetektorer som aktivt verifiserer mot deres respektive APIer. Den støtter også skanning av GitHub, GitLab, filsystemer, S3, GCS og Circle CI, noe som gjør den utrolig allsidig.
Ikke bare det, TruffleHog har nå innebygd støtte for umiddelbar verifisering av private nøkler mot millioner av GitHub-brukere og milliarder av TLS-sertifikater ved å bruke sin banebrytende Driftwood-teknologi. Den kan til og med skanne binærfiler og andre filformater, og sikre at ingen stein blir stående uvendt.
Dessuten er TruffleHog tilgjengelig som både en GitHub Action og en pre-commit hook, sømløst integrert i utviklingsarbeidsflyten din. Den er designet for å være praktisk og brukervennlig, og gir et ekstra lag med sikkerhet uten å forårsake unødvendig problemer.
Med Truffle Hog i verktøysettet ditt kan du trygt beskytte koden din mot utilsiktet eksponering og holde hemmelighetene dine innelåst. Så prøv Truffle Hog, og la det virke magien for å beskytte prosjektene dine.
Git Hound
GitHound går utover begrensningene til andre verktøy ved å utnytte GitHub-kodesøk, mønstermatching og søk i commit-historikk. Den kan søke i hele GitHub, ikke bare spesifikke depoter, brukere eller organisasjoner. Hvor kult er det?
La oss nå dykke ned i de fantastiske funksjonene. Git Hound bruker GitHub/Gist-kodesøk, slik at den kan finne sensitiv informasjon spredt over hele GitHub, lastet opp av hvem som helst. Det er som å ha et skattekart for å avdekke potensielle sårbarheter.
Men GitHound stopper ikke der. Den oppdager sensitive data ved å bruke mønstertilpasning, kontekstuell informasjon og strengentropi. Den graver til og med dypt inn i forpliktelseshistorien for å finne hemmeligheter som er slettet på feil måte, og sikrer at ingen stein står uvendt.
For å forenkle livet ditt, inkluderer GitHound et poengsystem som filtrerer ut vanlige falske positiver og optimerer søket etter intensiv depotgraving. Den er designet for å spare deg for tid og krefter.
Og gjett hva? Git Hound er utstyrt med base64-deteksjons- og dekodingsmuligheter. Den kan avsløre skjulte hemmeligheter kodet i base64-format, noe som gir deg en ekstra fordel i jakten på sensitiv informasjon.
Dessuten tilbyr GitHound alternativer for å integrere den i større systemer. Du kan generere JSON-utdata og tilpasse regexes i henhold til dine spesifikke behov. Det handler om fleksibilitet og å gi deg mulighet til å bygge videre på grunnlaget.
La oss nå snakke om dets spennende brukstilfeller. I bedriftsverdenen blir GitHound uvurderlig når det gjelder å søke etter eksponerte kunde-API-nøkler. Det bidrar til å beskytte sensitiv informasjon, og sikrer det høyeste sikkerhetsnivået.
For bug dusørjegere er Git Hound en spillveksler. Den lar deg søke etter lekke API-tokens for ansatte, og hjelper deg med å avdekke sårbarheter og tjene de velfortjente dusørene. Er ikke Git Hound fantastisk?
Gitleaks
Gitleaks er designet for å gjøre livet ditt enklere. Det er en brukervennlig alt-i-ett-løsning som oppdager hemmeligheter, enten de er begravet i kodens fortid eller nåtid. Si farvel til risikoen for å avsløre passord, API-nøkler eller tokens i prosjektene dine.
Å installere Gitleaks er en lek. Du kan bruke Homebrew, Docker eller Go, avhengig av dine preferanser. I tillegg tilbyr den fleksible implementeringsalternativer. Du kan sette den opp som en pre-commit-hook direkte i depotet ditt eller dra nytte av Gitleaks-Action for å integrere det sømløst i GitHub-arbeidsflytene dine. Det handler om å finne det oppsettet som passer deg best.
La oss nå snakke om kommandoene som Gitleaks tilbyr. Først har vi kommandoen «detect». Denne kraftige kommandoen lar deg skanne arkiver, kataloger og individuelle filer. Enten du jobber på din egen maskin eller i et CI-miljø, har Gitleaks deg dekket. Det sørger for at ingen hemmelighet slipper gjennom sprekkene.
Men det er ikke alt. Gitleaks gir også kommandoen «beskytt». Denne kommandoen skanner eksplisitt uforpliktede endringer i Git-lagrene dine. Det fungerer som din siste forsvarslinje, og forhindrer at hemmeligheter utilsiktet blir begått. Det er en beskyttelse som holder koden din ren og sikker.
Tines, et pålitelig navn i bransjen, sponser Gitleaks. Med deres støtte fortsetter Gitleaks å utvikle seg og forbedre, og gir deg de beste hemmelige oppdagelsesmulighetene.
Så, mine unge fagfolk, ikke la hemmeligheter kompromittere prosjektene dine. Installer den, sett den opp og la den gjøre det harde arbeidet med å skanne og beskytte lagrene dine
Repo sikkerhetsskanner
Repo-sikkerhetsskanneren er et uvurderlig kommandolinjeverktøy designet for å hjelpe til med identifisering av utilsiktet begått sensitive data, som passord, tokens, private nøkler og andre hemmeligheter, i ditt Git-lager.
Dette kraftige verktøyet gir deg mulighet til proaktivt å oppdage og adressere potensielle sikkerhetssårbarheter som oppstår fra utilsiktet inkludering av konfidensiell informasjon i kodebasen din. Ved å bruke repo-sikkerhetsskanneren kan du sikre integriteten til depotet ditt og beskytte sensitive data mot uautorisert tilgang.
Repo Security Scanner dykker enkelt inn i hele depotets historie, og presenterer raskt omfattende skanneresultater. Ved å utføre grundige skanninger gir det deg mulighet til proaktivt å identifisere og raskt adressere potensielle sikkerhetssårbarheter som kan oppstå fra avslørte hemmeligheter i åpen kildekode-programvare.
Git Guardian
GitGuardian er et verktøy som gjør det mulig for utviklere, sikkerhets- og overholdelsesteam å overvåke GitHub-aktivitet i sanntid og identifisere sårbarheter på grunn av avslørte hemmeligheter som API-tokens, sikkerhetssertifikater, databaselegitimasjon, etc.
GitGuardian lar teamene håndheve sikkerhetspolicyer i privat og offentlig kode og andre datakilder.
GitGuardian hovedfunksjoner er;
- Verktøyet hjelper deg med å finne sensitiv informasjon, for eksempel hemmeligheter i den private kildekoden,
- Identifiser og fiks sensitive datalekkasjer på offentlig GitHub.
- Det er et effektivt, gjennomsiktig og enkelt å sette opp hemmelig deteksjonsverktøy.
- Bredere dekning og omfattende database for å dekke nesten all sensitiv informasjon som er i fare.
- Sofistikerte mønstertilpasningsteknikker som forbedrer oppdagelsesprosessen og effektiviteten.
Konklusjon
Jeg håper dette gir deg en idé om å finne sensitive data i GitHub-depotet. Hvis du bruker AWS, sjekk ut denne artikkelen for å skanne AWS-sikkerhet og feilkonfigurasjon. Følg med for flere spennende verktøy som vil forbedre ditt profesjonelle liv. Lykke til med koding, og hold disse hemmelighetene innelåst! 🔒