Zjistěte, zda vaše úložiště na GitHubu neukrývá citlivé údaje, jako jsou hesla, tajné klíče nebo důvěrné informace.
Miliony uživatelů využívají GitHub k hostování a sdílení kódu. To je skvělé, avšak občas se stane, že vy, vývojáři či vlastníci kódu, nechtěně uložíte citlivá data do veřejného úložiště. To může mít katastrofální následky.
Existuje mnoho případů, kdy se důvěrné údaje dostaly na GitHub neoprávněně. Lidskou chybu nelze zcela eliminovat, ale je možné přijmout opatření, která minimalizují její výskyt.
Jak tedy zajistíte, že se ve vašem úložišti nenacházejí hesla nebo klíče?
Jednoduchá odpověď zní – neukládejte je tam.
Doporučeným postupem je používat software pro správu tajných informací, kam uložíte veškerá citlivá data.
Ovšem, pokud pracujete v týmu, nemáte kontrolu nad chováním ostatních.
Pokud navíc používáte Git k inicializaci a nasazení vaší aplikace, vytváří se složka .git. Je-li tato složka přístupná přes internet, může dojít k odhalení citlivých potvrzení. Proto byste měli zvážit blokování URI .git.
Následující nástroje vám pomohou odhalit chyby ve vašem úložišti.
Skenování tajných informací
Funkce skenování tajných informací, kterou GitHub nabízí, je mocný nástroj, který detekuje náhodně umístěné citlivé informace ve vašem kódu. Chrání tak před únikem dat a kompromitací. Funguje spolehlivě jak pro veřejná, tak pro soukromá úložiště. Pečlivě prohledává každé zákoutí, aby odhalil případné úniky tajných dat.
Její schopnosti ale nekončí. Jakmile je tajná informace objevena, GitHub proaktivně upozorní příslušné poskytovatele služeb a vyzve je k rychlému zmírnění potenciálních rizik. V případě soukromých úložišť GitHub informuje přímo vlastníky či správce organizací, aby zajistil okamžitou informovanost správných lidí ve vašem týmu.
Pro zajištění neustálé viditelnosti jsou v úložišti nápadně zobrazena varování, což slouží jako jasný signál pro vás i váš tým k okamžité akci. Funkce skenování tajných informací GitHubu je vaším ostražitým spojencem, který usilovně pracuje na tom, aby žádné tajné informace nezůstaly bez povšimnutí, a vaše projekty tak zůstaly v bezpečí.
Využijte sílu skenování tajných informací a kódujte s jistotou. Budete mít jistotu, že jsou vaše citlivé údaje chráněny.
Git Secrets
Dovolte mi představit vám git-secrets, nástroj, který nás dokáže zachránit před trapnými situacemi, kdy se omylem dostanou tajné informace do našich repozitářů Git. Skenuje potvrzení, zprávy odevzdání i slučování, aby zabránil úniku tajných informací v kódu.
Pokud chcete začít s používáním ve Windows, jednoduše spusťte skript install.ps1 v prostředí PowerShell. Ten zkopíruje potřebné soubory do instalačního adresáře a přidá je do uživatelské proměnné PATH. Díky tomu je git-secrets snadno dostupný z libovolného místa ve vašem vývojovém prostředí.
Po instalaci se git-secrets stane vaším ostražitým strážcem, který kontroluje, zda historie odevzdání, zprávy odevzdání nebo slučování neodpovídají nastaveným zakázaným vzorům. Pokud dojde k detekci shody, odevzdání se zamítne, čímž se zabrání úniku citlivých údajů.
Vzory regulárních výrazů lze přidat do souboru .gitallowed v kořenovém adresáři úložiště, abyste si mohli git-secrets lépe přizpůsobit. To vám pomůže odfiltrovat všechny řádky, které by mohly vyvolat varování, ačkoli jsou legitimní. Naleznete tak správnou rovnováhu mezi zabezpečením a pohodlím.
Při skenování souboru git-secrets extrahuje všechny řádky, které odpovídají zakázaným vzorům, a poskytne vám podrobné informace, včetně cest k souboru, čísel řádků a odpovídajících řádků. Kontroluje také, zda se odpovídající řádky shodují s registrovanými povolenými vzory. Odevzdání nebo sloučení je považováno za bezpečné, pokud povolené vzory negují všechny označené řádky. Nicméně, pokud některé odpovídající řádky neodpovídají povolenému vzoru, git-secrets tento proces zablokuje.
Při používání git-secrets je nutné dbát opatrnosti. Zakázané vzory by neměly být příliš široké a povolené vzory příliš tolerantní. Testováním vzorů pomocí volání ad-hoc klíčů ‚git-secrets –scan $filename‘ se ujistíte, že fungují správně.
Pokud chcete git-secrets prozkoumat detailněji nebo se podílet na jeho vývoji, najdete projekt na GitHubu. Jedná se o open-source projekt, který uvítá příspěvky od komunity. Připojte se ke komunitě a přispějte ke zlepšení!
S git-secrets můžete kódovat s jistotou. Můžete mít jistotu, že náhodné úniky citlivých informací neohrozí vaše projekty. Přijměte tento nástroj a chraňte svoje cenná data.
Repo Supervisor
Mám pro vás úžasnou zprávu: Repo-supervisor je výkonný nástroj, který dokáže odhalit tajné informace a hesla ve vašem kódu. Jeho instalace je velmi snadná – stačí přidat webhook do vašeho úložiště na GitHubu. Repo-supervisor nabízí dva režimy: skenování pull requestů na GitHubu nebo skenování lokálních adresářů z příkazové řádky. Vyberte si režim, který vám nejvíce vyhovuje.
Chcete-li se pustit do zkoumání tajných informací, navštivte úložiště GitHub a stáhněte si nejnovější verzi. Najdete tam balíčky pro nasazení AWS Lambda i režim CLI, který se snadno používá. S režimem CLI se můžete pustit do práce okamžitě, bez dalšího nastavování. Režim pull request naopak vyžaduje nasazení do AWS Lambda. Vyberte si variantu, která nejlépe splňuje vaše požadavky a využijte sílu git-secrets k posílení bezpečnosti vašeho kódu!
V režimu CLI zadáte jako argument adresář. Repo-supervisor prohledá podporované typy souborů a zpracuje každý z nich pomocí tokenizeru specifického pro jeho typ. Následně provede bezpečnostní kontroly extrahovaných řetězců a poskytne přehledné zprávy ve formátu prostého textu nebo JSON.
V režimu pull request Repo-supervisor zpracovává datové zatížení webhooku, extrahuje upravené soubory a provádí bezpečnostní kontroly extrahovaných řetězců. Pokud jsou zjištěny problémy, nastaví stav CI na chybu a poskytne odkaz na zprávu. Pokud problémy nejsou nalezeny, stav CI bude úspěšný.
Repo-supervisor je úžasný kontrolor kódu, který udržuje naše tajné informace a hesla v bezpečí. Zajišťuje integritu kódu, což je v naší práci naprosto klíčové.
Vyzkoušejte Repo-supervisor! Nainstalujte ho, nakonfigurujte webhook a nechte ho hledat tajné informace a hesla. Užijte si další vrstvu zabezpečení!
Truffle Hog
Dovolte mi představit vám fantastický nástroj Truffle Hog. Berte ho jako svého věrného společníka, který se neúnavně snaží odhalit stopy citlivých informací ukrytých ve vašich úložištích. Truffle Hog je mistrem v prohledávání historie vašeho projektu. S velkou pečlivostí hledá potencionální úniky cenných tajných informací, jako jsou API klíče a hesla.
Díky sadě kontrol s vysokou entropií a regulárním výrazům, je tento nástroj připraven objevit skryté poklady a zajistit, že váš kód zůstane bezpečný. Rozlučte se s úniky tajných informací a využijte ostražitou ochranu nástroje Truffle Hog!
A to nejlepší nakonec: nejnovější verze Truffle Hog přináší spoustu nových výkonných funkcí. Nyní má k dispozici více než 700 detektorů přihlašovacích údajů, které jsou aktivně ověřovány prostřednictvím příslušných API. Podporuje i skenování GitHub, GitLab, souborových systémů, S3, GCS a Circle CI, což z něj dělá neuvěřitelně univerzální nástroj.
TruffleHog nyní nativně podporuje okamžité ověřování soukromých klíčů proti milionům uživatelů GitHubu a miliardám certifikátů TLS pomocí špičkové technologie Driftwood. Dokáže skenovat binární soubory a další formáty souborů, takže se nic nenechá náhodě.
Navíc je TruffleHog k dispozici jako akce GitHub i jako hák před odevzdáním, což zaručuje bezproblémovou integraci do vašeho vývojového workflow. Je navržen tak, aby byl pohodlný a uživatelsky přívětivý. Poskytne vám další vrstvu zabezpečení bez zbytečných komplikací.
S Truffle Hog ve vaší sadě nástrojů můžete s jistotou ochránit svůj kód před náhodným odhalením a udržet své tajné informace pod zámkem. Vyzkoušejte Truffle Hog a nechte ho, ať se postará o ochranu vašich projektů.
Git Hound
GitHound překonává omezení jiných nástrojů tím, že využívá vyhledávání v kódu GitHubu, porovnávání vzorů a prohledávání historie odevzdání. Může prohledávat celý GitHub, a to nejen konkrétní úložiště, uživatele nebo organizace. Není to úžasné?
Pojďme se podívat na jeho fantastické vlastnosti. Git Hound využívá vyhledávání v kódu GitHub/Gist, což mu umožňuje identifikovat citlivé informace rozeseté po celém GitHubu, které nahrál kdokoli. Je to, jako byste měli mapu pokladu pro odhalení potencionálních slabých míst.
Tím ale GitHound nekončí. Detekuje citlivé údaje pomocí porovnávání vzorů, kontextových informací a entropie řetězců. Dokonce se ponoří hluboko do historie odevzdání, aby našel nesprávně smazané tajné informace. Nezůstane tak kámen na kameni.
Pro usnadnění práce vám GitHound nabízí systém hodnocení, který odfiltruje běžné falešné poplachy a optimalizuje prohledávání úložiště. Je navržen tak, aby vám ušetřil čas i úsilí.
A co víc? Git Hound má detekční a dekódovací schopnosti pro formát base64. Dokáže odhalit skryté informace zakódované v base64 a poskytne vám tak další výhodu při hledání citlivých informací.
GitHound také umožňuje integraci do větších systémů. Můžete generovat výstup ve formátu JSON a upravovat regulární výrazy podle konkrétních potřeb. Jedná se o flexibilní nástroj, který vám dává možnost stavět na jeho základech.
Podívejme se na jeho zajímavé případy použití. V korporátním světě je GitHound neocenitelný při hledání odhalených API klíčů zákazníků. Pomáhá chránit citlivé informace a zajišťuje nejvyšší úroveň zabezpečení.
Pro lovce odměn za chyby je Git Hound revoluční nástroj. Umožňuje vám hledat uniklé tokeny API zaměstnanců. Pomáhá vám odhalovat slabá místa a získávat zasloužené odměny. Není Git Hound skvělý?
Gitleaks
Gitleaks je navržen tak, aby vám usnadnil život. Je to snadno použitelné řešení typu vše v jednom, které odhaluje tajné informace, ať už jsou ukryty v minulosti nebo současnosti vašeho kódu. Rozlučte se s rizikem odhalení hesel, API klíčů nebo tokenů ve vašich projektech.
Instalace Gitleaks je velmi snadná. V závislosti na vašich preferencích můžete použít Homebrew, Docker nebo Go. Navíc nabízí flexibilní možnosti implementace. Můžete ho nastavit jako hák před odevzdáním přímo ve vašem úložišti nebo využít výhod Gitleaks-Action pro bezproblémovou integraci do vašich pracovních postupů na GitHubu. Vše je o nalezení nastavení, které vám nejvíce vyhovuje.
Nyní se pojďme podívat na příkazy, které Gitleaks nabízí. Prvním z nich je příkaz „detect“. Tenhle silný příkaz vám umožňuje skenovat úložiště, adresáře a jednotlivé soubory. Ať už pracujete na vlastním počítači nebo v CI prostředí, Gitleaks vám pomůže. Ujistí se, že žádná tajná informace neunikne.
To ale není všechno. Gitleaks také nabízí příkaz „protect“. Tento příkaz kontroluje explicitně neodevzdané změny ve vašich úložištích Git. Funguje jako vaše poslední obranná linie, která zabrání nechtěnému odevzdání tajných informací. Je to ochranná vrstva, která udržuje váš kód čistý a bezpečný.
Gitleaks je sponzorován společností Tines, což je v oboru uznávaná firma. Díky jejich podpoře se Gitleaks nadále vyvíjí a zlepšuje, a vy tak máte k dispozici ty nejlepší možnosti detekce tajných informací.
Nenechte své projekty ohrozit únikem tajných informací. Nainstalujte ho, nastavte ho a nechte ho vykonávat těžkou práci, ať už jde o skenování nebo ochranu vašich úložišť.
Bezpečnostní skener Repo
Bezpečnostní skener repo je neocenitelný nástroj příkazového řádku, který vám pomůže identifikovat neúmyslně vložená citlivá data, jako jsou hesla, tokeny, soukromé klíče a další tajné informace, ve vašem úložišti Git.
Tento výkonný nástroj vám umožňuje proaktivně odhalovat a řešit potencionální bezpečnostní problémy, které vznikají v důsledku neúmyslného zahrnutí důvěrných informací do kódu. Používáním bezpečnostního skeneru repo můžete zajistit integritu svého úložiště a chránit citlivá data před neoprávněným přístupem.
Bezpečnostní skener repo prozkoumá celou historii úložiště a rychle vám poskytne kompletní výsledky skenování. Důkladným skenováním vám pomáhá proaktivně identifikovat a rychle vyřešit potencionální slabá místa v zabezpečení, která mohou vzniknout kvůli odhaleným tajným informacím v softwaru s otevřeným zdrojovým kódem.
Git Guardian
GitGuardian je nástroj, který umožňuje vývojářům, bezpečnostním týmům a týmům dodržujícím předpisy sledovat aktivitu na GitHubu v reálném čase a identifikovat slabá místa způsobená odhalenými tajnými informacemi, jako jsou API tokeny, bezpečnostní certifikáty, přihlašovací údaje k databázím apod.
GitGuardian týmům umožňuje prosazovat bezpečnostní zásady v soukromém i veřejném kódu a dalších zdrojích dat.
Mezi hlavní funkce GitGuardian patří:
- Nástroj pomáhá najít citlivé informace, jako jsou tajné informace, v soukromém zdrojovém kódu.
- Identifikuje a opravuje úniky citlivých dat na veřejném GitHubu.
- Je to efektivní, transparentní a snadno nastavitelný nástroj pro detekci tajných informací.
- Širší pokrytí a obsáhlá databáze pro detekci téměř všech ohrožených citlivých informací.
- Využívá sofistikované techniky porovnávání vzorů, které zlepšují proces zjišťování a zvyšují efektivitu.
Závěr
Doufám, že vám tento článek dal přehled o tom, jak můžete hledat citlivá data v úložišti na GitHubu. Pokud používáte AWS, podívejte se na tento článek a zkontrolujte nastavení zabezpečení a konfigurace AWS. Sledujte nás i nadále, abyste objevili další zajímavé nástroje, které zlepší vaši práci. Přeji vám šťastné kódování a pamatujte, že vaše tajemství musí zůstat pod zámkem! 🔒