Zjistěte, zda vaše úložiště GitHub obsahuje citlivé informace, jako jsou hesla, tajné klíče, důvěrné informace atd.
GitHub používají miliony uživatelů k hostování a sdílení kódů. Je to fantastické, ale někdy můžete vy/vývojáři/vlastníci kódu omylem uložit důvěrné informace do veřejného úložiště, což může být katastrofa.
Existuje mnoho incidentů, kdy na GitHubu unikla důvěrná data. Nemůžete odstranit lidskou chybu, ale můžete podniknout kroky k jejímu snížení.
Jak zajistíte, že vaše úložiště neobsahuje heslo nebo klíč?
Jednoduchá odpověď – neskladovat.
Nejlepším postupem je použití softwaru pro správu tajných informací k ukládání všech citlivých informací.
Ale ve skutečnosti nemůžete ovládat chování ostatních lidí, pokud pracujete v týmu.
BTW, pokud používáte Git k inicializaci a nasazení vaší aplikace, vytvoří složku .git, a pokud je přístupná přes internet, může vystavit citlivé potvrzení – což nechcete a měli byste zvážit blokování URI .git.
Následující řešení vám pomohou najít chyby ve vašem úložišti.
Table of Contents
Tajné skenování
Funkce tajného skenování GitHubu je výkonný nástroj, který detekuje náhodná tajemství ukrytá ve vašem kódu a chrání před úniky dat a kompromitacemi. Bezproblémově funguje pro veřejná i soukromá úložiště a pečlivě prohledává každý kout a skulinu, aby odhalil všechna uklouznutá tajemství.
Ale jeho schopnosti pokračují. Jakmile je tajemství objeveno, GitHub přijme proaktivní opatření tím, že upozorní příslušné poskytovatele služeb a vyzve je, aby rychle zmírnili jakákoli potenciální rizika. Pokud jde o soukromá úložiště, GitHub jde o krok navíc tím, že informuje vlastníky nebo správce organizací a zajišťuje, že o situaci budou okamžitě informováni ti správní jedinci ve vašem týmu.
Aby byla zajištěna nepřetržitá viditelnost, jsou v úložišti nápadně zobrazena varování, která vám a vašemu týmu slouží jako jasný signál k rychlé akci. Funkce tajného skenování GitHubu funguje jako váš ostražitý spojenec, který pilně pracuje na tom, aby žádné tajemství nezůstalo bez povšimnutí a vaše projekty zůstaly v bezpečí.
Přijměte sílu tajného skenování a kódu s jistotou, s vědomím, že vaše citlivé informace jsou chráněny.
Tajemství Git
Dovolte mi představit vám git-secrets, nástroj, který nás může zachránit před rozpaky z náhodného přidávání tajemství do našich repozitářů Git. Skenuje potvrzení, zprávy odevzdání a sloučení, aby se zabránilo tajnému úniku v našem kódu.
Chcete-li začít ve Windows, jednoduše spustíme skript install.ps1 PowerShell. Zkopíruje potřebné soubory do instalačního adresáře a přidá je do naší uživatelské PATH. Díky tomu jsou git-secrets snadno dostupné odkudkoli v našem vývojovém prostředí.
Po instalaci se git-secrets stane naším bdělým strážcem, který kontroluje, zda nějaká historie odevzdání, odevzdání zprávy nebo sloučení odpovídá našim nakonfigurovaným zakázaným vzorům. Pokud detekuje shodu, odmítne odevzdání a zabrání tomu, aby citlivé informace proklouzly trhlinami.
Můžeme přidat vzory regulárních výrazů do souboru .gitallowed v kořenovém adresáři úložiště, abychom doladili git-secrets. To pomáhá odfiltrovat všechny řádky, které by mohly vyvolat varování, ale jsou legitimní, a najít správnou rovnováhu mezi zabezpečením a pohodlím.
Při skenování souboru git-secrets extrahují všechny řádky, které odpovídají zakázaným vzorům, a poskytují podrobné informace, včetně cest k souboru, čísel řádků a odpovídajících řádků. Také kontroluje, zda se odpovídající čáry shodují s našimi registrovanými povolenými vzory. Potvrzení nebo sloučení se považuje za bezpečné, pokud povolené vzory zruší všechny označené řádky. Git-secrets však proces zablokují, pokud některé odpovídající řádky neodpovídají povolenému vzoru.
Při používání git-secrets musíme být opatrní. Zakázané vzory by neměly být příliš široké a povolené vzory by neměly být příliš tolerantní. Testování našich vzorů pomocí ad-hoc volání tajných klíčů git – scan $filename zajišťuje, že fungují tak, jak mají.
Pokud se toužíte ponořit hlouběji do git-secrets nebo chcete přispět k jeho vývoji, najdete projekt na GitHubu. Je to open-source projekt, který podporuje příspěvky komunity. Připojte se ke komunitě a udělejte rozdíl!
S git-secrets můžeme s jistotou kódovat s vědomím, že náhodná tajemství neohrozí naše projekty. Přijměme tento nástroj a chraňme naše citlivé informace.
Vedoucí repo
Mám tuto vzrušující zprávu: Repo-supervisor je výkonný nástroj, který zjišťuje tajemství a hesla ve vašem kódu. Instalace je hračka – jednoduše přidejte webhook do svého úložiště GitHub. Repo-supervisor nabízí dva režimy: skenování pull requestů na GitHubu nebo skenování lokálních adresářů z příkazového řádku. Vyberte si režim, který vám nejlépe vyhovuje.
Chcete-li se vydat na cestu k tajemstvím git, jednoduše navštivte úložiště GitHub a stáhněte si nejnovější verzi. Tam objevíte balíčky přizpůsobené pro nasazení AWS Lambda a uživatelsky přívětivý režim CLI. S režimem CLI se můžete přímo ponořit bez dalšího nastavování, zatímco režim požadavku na vytažení vyžaduje nasazení do AWS Lambda. Vyberte si možnost, která vyhovuje vašim potřebám, a začněte využívat sílu git-secrets k posílení zabezpečení vaší kódové základny!
V režimu CLI zadejte jako argument adresář a Repo-supervisor prohledá podporované typy souborů a zpracuje každý soubor pomocí tokenizeru specifického pro jeho typ. Provádí bezpečnostní kontroly extrahovaných řetězců a poskytuje jasné zprávy ve formátu prostého textu nebo JSON.
V režimu požadavku na stažení zpracovává Repo-supervisor datová zatížení webhooku, extrahuje upravené soubory a provádí bezpečnostní kontroly extrahovaných řetězců. Pokud jsou nalezeny problémy, nastaví stav CI na chybu a propojí se s přehledem. Žádné problémy znamenají úspěšný stav CI.
Repo-supervisor je úžasný inspektor kódu, který udržuje naše tajemství a hesla v bezpečí. Zajišťuje integritu naší kódové základny, která je v našem profesionálním životě klíčová.
Vyzkoušejte Repo-supervisor! Nainstalujte jej, nakonfigurujte webhook a nechte jej vyhledávat tajemství a hesla. Užijte si další vrstvu zabezpečení!
Lanýž prase
Dovolte mi, abych vám představil neuvěřitelný nástroj jménem Lanýžový prase. Považujte to za svého věrného společníka s kódem, který pilně vyčmuchává jakoukoli stopu citlivých informací, které se skrývají ve vašich úložištích. Truffle Hog je mistrem v pronikání hluboko do historie vašeho projektu a pečlivým vyhledáváním potenciálních úniků cenných tajemství, jako jsou klíče API a hesla.
Se svým arzenálem kontrol s vysokou entropií a vzorů regulárních výrazů je tento nástroj připraven odhalit tyto skryté poklady a zajistit, aby váš kód zůstal v bezpečí. Rozlučte se s tajnými úniky a přijměte ostražitou ochranu Lanýžového prasete!
A tady je ta nejlepší část: Nejnovější verze Truffle Hog je nabitá mnoha novými výkonnými funkcemi. Nyní se může pochlubit více než 700 detektory pověření, které se aktivně ověřují proti příslušným rozhraním API. Podporuje také skenování GitHub, GitLab, souborových systémů, S3, GCS a Circle CI, díky čemuž je neuvěřitelně univerzální.
Nejen to, TruffleHog má nyní nativní podporu pro okamžité ověření soukromých klíčů proti milionům uživatelů GitHub a miliardám certifikátů TLS pomocí špičkové technologie Driftwood. Dokáže dokonce skenovat binární soubory a další formáty souborů, takže nezůstane kámen na kameni.
A co víc, TruffleHog je k dispozici jak jako akce GitHub, tak jako hák před závazkem, který se hladce integruje do vašeho vývojového pracovního postupu. Je navržen tak, aby byl pohodlný a uživatelsky přívětivý a poskytoval další vrstvu zabezpečení, aniž by způsoboval zbytečné potíže.
S Truffle Hog ve vaší sadě nástrojů můžete s jistotou chránit svůj kód před náhodným odhalením a udržet svá tajemství pod zámkem. Vyzkoušejte tedy Truffle Hog a nechte ho působit jeho kouzlo při ochraně vašich projektů.
Git Hound
GitHound překračuje omezení jiných nástrojů tím, že využívá vyhledávání kódu GitHub, porovnávání vzorů a vyhledávání historie odevzdání. Může prohledávat celý GitHub, nejen konkrétní úložiště, uživatele nebo organizace. Jak skvělé to je?
Nyní se pojďme ponořit do jeho fantastických funkcí. Git Hound využívá vyhledávání kódu GitHub/Gist, což mu umožňuje určit citlivé informace roztroušené po obrovském prostoru GitHubu, které nahrál kdokoli. Je to jako mít mapu pokladu k odhalení potenciálních zranitelností.
Tím ale GitHound nekončí. Detekuje citlivá data pomocí shody vzorů, kontextových informací a entropie řetězců. Dokonce se ponoří hluboko do historie odevzdání, aby našel nesprávně smazaná tajemství, takže nezůstane kámen na kameni.
Aby vám GitHound zjednodušil život, obsahuje systém hodnocení, který filtruje běžné falešné poplachy a optimalizuje vyhledávání pro intenzivní prohledávání úložiště. Je navržen tak, aby vám ušetřil čas a námahu.
A Hádej co? Git Hound je vybaven detekčními a dekódovacími schopnostmi base64. Dokáže odhalit skrytá tajemství zakódovaná ve formátu base64, což vám poskytne další výhodu při honbě za citlivými informacemi.
A co víc, GitHound nabízí možnosti, jak jej integrovat do větších systémů. Můžete generovat výstup JSON a upravovat regulární výrazy podle svých konkrétních potřeb. Je to všechno o flexibilitě a umožnění stavět na jeho základech.
Nyní si promluvme o jeho vzrušujících případech použití. V podnikovém světě se GitHound stává neocenitelným při hledání odhalených zákaznických API klíčů. Pomáhá chránit citlivé informace a zajišťuje nejvyšší úroveň zabezpečení.
Pro lovce odměn za chyby je Git Hound změnou hry. Umožňuje vám vyhledávat uniklé tokeny zaměstnaneckého API, pomáhá vám odhalovat zranitelnosti a získávat zasloužené odměny. Není Git Hound úžasný?
Gitleaks
Gitleaks je navržen tak, aby vám usnadnil život. Je to snadno použitelné řešení typu vše v jednom, které odhaluje tajemství, ať už jsou pohřbena v minulosti nebo současnosti vašeho kódu. Rozlučte se s rizikem odhalení hesel, API klíčů nebo tokenů ve vašich projektech.
Instalace Gitleaks je hračka. V závislosti na vašich preferencích můžete použít Homebrew, Docker nebo Go. Navíc nabízí flexibilní možnosti implementace. Můžete jej nastavit jako háček před potvrzením přímo ve vašem úložišti nebo využít výhod Gitleaks-Action k bezproblémové integraci do vašich pracovních postupů na GitHubu. Vše je o nalezení nastavení, které vám nejlépe vyhovuje.
Nyní si povíme něco o příkazech, které Gitleaks nabízí. Nejprve máme příkaz „detect“. Tento výkonný příkaz umožňuje skenovat úložiště, adresáře a jednotlivé soubory. Ať už pracujete na svém vlastním stroji nebo v prostředí CI, Gitleaks vás pokryje. Zajišťuje, že prasklinami neproklouzne žádné tajemství.
Ale to není všechno. Gitleaks také poskytuje příkaz „protect“. Tento příkaz kontroluje explicitně nepotvrzené změny ve vašich úložištích Git. Funguje jako vaše poslední obranná linie, která zabraňuje nechtěnému spáchání tajemství. Je to ochrana, která udržuje váš kód čistý a bezpečný.
Tines, důvěryhodné jméno v oboru, sponzoruje Gitleaks. S jejich podporou se Gitleaks nadále vyvíjí a zdokonaluje a poskytuje vám ty nejlepší možnosti detekce tajných informací.
Takže, moji mladí profesionálové, nenechte tajemství ohrozit vaše projekty. Nainstalujte jej, nastavte jej a nechte jej vykonávat tvrdou práci skenování a ochrany vašich úložišť
Bezpečnostní skener Repo
Bezpečnostní skener repo je neocenitelný nástroj příkazového řádku navržený tak, aby pomáhal při identifikaci neúmyslně zadaných citlivých dat, jako jsou hesla, tokeny, soukromé klíče a další tajemství, ve vašem úložišti Git.
Tento výkonný nástroj vám umožňuje proaktivně odhalovat a řešit potenciální bezpečnostní zranitelnosti vyplývající z neúmyslného zahrnutí důvěrných informací do vaší kódové základny. Použitím bezpečnostního skeneru repo můžete zajistit integritu svého úložiště a chránit vaše citlivá data před neoprávněným přístupem.
Repo Security Scanner se bez námahy ponoří do historie celého úložiště a rychle prezentuje komplexní výsledky skenování. Prováděním důkladných skenů vám umožňuje proaktivně identifikovat a rychle řešit potenciální slabá místa zabezpečení, která mohou vyplynout z odhalených tajemství v softwaru s otevřeným zdrojovým kódem.
Git Guardian
GitGuardian je nástroj, který umožňuje vývojářům, bezpečnostním týmům a týmům pro dodržování předpisů sledovat aktivitu GitHubu v reálném čase a identifikovat zranitelná místa kvůli odhaleným tajemstvím, jako jsou tokeny API, bezpečnostní certifikáty, přihlašovací údaje k databázi atd.
GitGuardian umožňuje týmům prosazovat bezpečnostní zásady v soukromém a veřejném kódu a dalších zdrojích dat.
Hlavní funkce GitGuardian jsou;
- Nástroj pomáhá najít citlivé informace, jako jsou tajemství v soukromém zdrojovém kódu,
- Identifikujte a opravte úniky citlivých dat na veřejném GitHubu.
- Je to účinný, transparentní a snadno nastavitelný nástroj pro detekci tajných informací.
- Širší pokrytí a komplexní databáze pro pokrytí téměř všech ohrožených citlivých informací.
- Sofistikované techniky porovnávání vzorů, které zlepšují proces objevování a efektivitu.
Závěr
Doufám, že vám to poskytne představu o hledání citlivých dat v úložišti GitHub. Pokud používáte AWS, podívejte se na tento článek a prohledejte zabezpečení a nesprávnou konfiguraci AWS. Zůstaňte naladěni na další vzrušující nástroje, které zlepší váš profesionální život. Šťastné kódování a držte tato tajemství pod zámkem! 🔒