Nézze meg, hogy GitHub-tárhelye tartalmaz-e bizalmas információkat, például jelszót, titkos kulcsokat, bizalmas információkat stb.
A GitHubot több millió felhasználó használja kódok tárolására és megosztására. Fantasztikus, de néha Ön/fejlesztők/kódtulajdonosok véletlenül bizalmas információkat helyezhetnek el egy nyilvános adattárban, ami katasztrófa lehet.
Sok olyan esemény történt, amikor bizalmas adatok szivárogtak ki a GitHubon. Az emberi hibákat nem lehet kiküszöbölni, de tenni lehet annak csökkentésére.
Hogyan biztosíthatja, hogy a tárhely ne tartalmazzon jelszót vagy kulcsot?
Egyszerű válasz – ne tárold.
A legjobb gyakorlat szerint titkos kezelő szoftvert kell használni az összes érzékeny információ tárolására.
De valójában nem tudod irányítani mások viselkedését, ha csapatban dolgozol.
BTW, ha a Git-et használja az alkalmazás inicializálására és üzembe helyezésére, az létrehoz egy .git mappát, és ha elérhető az interneten keresztül, bizalmas megerősítést tehet közzé – amit nem szeretne, és fontolóra kell vennie a .git URI blokkolását.
A következő megoldások segítenek megtalálni a hibákat a tárhelyen.
Tartalomjegyzék
Titkos szkennelés
A GitHub titkos szkennelési funkciója egy hatékony eszköz, amely észleli a kódban elrejtett véletlen titkokat, védve ezzel az adatszivárgást és a kompromisszumot. Zökkenőmentesen működik mind a nyilvános, mind a privát adattáraknál, aprólékosan átfésülve minden zugát és rést, hogy felfedjen minden elcsúszott titkot.
De képességei továbbra is fennállnak. Amint egy titkot felfedeznek, a GitHub proaktív intézkedéseket tesz, figyelmeztetve az érintett szolgáltatókat, és felszólítja őket az esetleges kockázatok gyors mérséklésére. Ami a privát adattárakat illeti, a GitHub megteszi az extra mérföldet azzal, hogy értesíti a szervezetek tulajdonosait vagy adminisztrátorait, biztosítva, hogy a csapaton belüli megfelelő személyek azonnal értesüljenek a helyzetről.
A folyamatos láthatóság érdekében a figyelmeztetések jól láthatóan jelennek meg az adattárban, egyértelmű jelzésként Ön és csapata számára, hogy azonnal intézkedjenek. A GitHub titkos szkennelési funkciója az Ön éber szövetségeseként működik, és szorgalmasan dolgozik azon, hogy egyetlen titok se maradjon észrevétlen, és projektjei biztonságban maradjanak.
Használja ki a titkos szkennelés és kódolás erejét magabiztosan, tudva, hogy érzékeny adatai védettek.
Git Secrets
Hadd mutassam be a git-secrets-et, egy olyan eszközt, amely megkímél minket attól a kínos helyzettől, hogy véletlenül titkokat adunk a Git-tárainkhoz. Ellenőrzi a véglegesítéseket, a véglegesítési üzeneteket és egyesíti, hogy megakadályozza a kódunk titkos kiszivárgását.
A Windows rendszerben való kezdéshez egyszerűen futtassuk az install.ps1 PowerShell szkriptet. A szükséges fájlokat egy telepítési könyvtárba másolja, és hozzáadja a felhasználói PATH-hoz. Ezáltal a git-titkok könnyen elérhetőek fejlesztői környezetünk bárhonnan.
A telepítés után a git-secrets éber őrzőnk lesz, aki ellenőrzi, hogy a véglegesítési, véglegesítési üzenetek vagy egyesítési előzmények megegyeznek-e a konfigurált tiltott mintáinkkal. Ha egyezést észlel, elutasítja a véglegesítést, így megakadályozza, hogy érzékeny információk átsuhanjanak a réseken.
A git-secrets finomhangolásához reguláris kifejezési mintákat adhatunk a lerakat gyökérkönyvtárában található .gitallowed fájlhoz. Ez segít kiszűrni minden olyan vonalat, amely figyelmeztetést válthat ki, de jogos, és megtalálja a megfelelő egyensúlyt a biztonság és a kényelem között.
Fájlok vizsgálatakor a git-secrets kibontja az összes olyan sort, amely megfelel a tiltott mintáknak, és részletes információkat szolgáltat, beleértve a fájl elérési útját, sorszámát és az egyező sorokat. Azt is ellenőrzi, hogy az egyező vonalak egyeznek-e a regisztrált engedélyezett mintákkal. A véglegesítés vagy egyesítés biztonságosnak tekinthető, ha az engedélyezett minták érvénytelenítik az összes megjelölt sort. A git-secrets azonban blokkolja a folyamatot, ha az egyező sorok nem egyeznek egy engedélyezett mintával.
A git-titkok használata során óvatosnak kell lennünk. A tiltott minták ne legyenek túl szélesek, és a megengedett minták ne legyenek túl megengedők. A mintáink tesztelése ad-hoc hívások segítségével a git secrets-Scan $filename segítségével biztosítja, hogy a kívánt módon működjenek.
Ha szeretnél mélyebbre merülni a git-titkokban, vagy hozzá szeretnél járulni a fejlesztéséhez, a projektet megtalálod a GitHubon. Ez egy nyílt forráskódú projekt, amely ösztönzi a közösségi hozzájárulásokat. Csatlakozz a közösséghez, és változtass!
A git-titkok segítségével magabiztosan kódolhatunk, tudván, hogy a véletlen titkok nem veszélyeztetik projektjeinket. Fogadjuk el ezt az eszközt, és őrizzük meg bizalmas adatainkat.
Repo felügyelő
Egy izgalmas hírt kaptam: A Repo-supervisor egy hatékony eszköz, amely felismeri a kódban lévő titkokat és jelszavakat. A telepítése gyerekjáték – egyszerűen adjon hozzá egy webhookot a GitHub-tárhelyhez. A Repo-supervisor két módot kínál: a lekérési kérelmek vizsgálatát a GitHubon vagy a helyi könyvtárak ellenőrzését a parancssorból. Válassza ki az Önnek legmegfelelőbb módot.
A git-titkok utazásának megkezdéséhez egyszerűen keresse fel a GitHub adattárat, és töltse le a legújabb kiadást. Itt megtalálhatja az AWS Lambda telepítésére szabott csomagokat és a felhasználóbarát CLI módot. A CLI móddal azonnal belemerülhet minden további beállítás nélkül, míg a lehívási kérés mód szükségessé teszi az AWS Lambdához való telepítést. Válassza ki az igényeinek megfelelő lehetőséget, és kezdje el kihasználni a git-titkok erejét kódbázisa biztonságának erősítésére!
CLI módban adjon meg egy könyvtárat argumentumként, és a Repo-supervisor megvizsgálja a támogatott fájltípusokat, és minden fájlt a típusának megfelelő tokenizátorral dolgoz fel. Biztonsági ellenőrzéseket futtat a kivont karakterláncokon, és egyértelmű jelentéseket biztosít egyszerű szöveges vagy JSON formátumban.
A lekérési módban a Repo-supervisor feldolgozza a webhook hasznos adatokat, kibontja a módosított fájlokat, és biztonsági ellenőrzéseket hajt végre a kibontott karakterláncokon. Ha problémákat talál, a CI állapotát hibára állítja, és összekapcsolja a jelentést. A probléma hiánya sikeres CI állapotot jelent.
A Repo-supervisor egy csodálatos kódellenőr, amely biztonságban tartja titkainkat és jelszavainkat. Ez biztosítja kódbázisunk integritását, ami döntő fontosságú szakmai életünkben.
Próbálja ki a Repo-felügyelőt! Telepítse, konfigurálja a webhookot, és hagyja, hogy titkokat és jelszavakat keressen. Élvezze az extra biztonsági réteget!
Szarvasgombás disznó
Engedjék meg, hogy bemutassam Önöknek a Truffle Hog nevű hihetetlen eszközt. Tekintsd hűséges kódtársadnak, aki szorgalmasan szippantja ki a tárhelyeidben megbúvó érzékeny információk minden nyomát. A Truffle Hog mestere a projekt történetének mélyre ásásában, és aprólékosan keresi az értékes titkok, például az API-kulcsok és jelszavak esetleges kiszivárgását.
A nagy entrópiájú ellenőrzések és a regex minták arzenáljával ez az eszköz alkalmas arra, hogy feltárja ezeket a rejtett kincseket, és gondoskodjon a kód biztonságáról. Mondjon búcsút a titkos kiszivárogtatásoknak, és fogadja el a Truffle Hog éber védelmét!
És itt van a legjobb rész: a Truffle Hog legújabb verziója számos új, hatékony funkciót tartalmaz. Jelenleg több mint 700 hitelesítő adatérzékelővel büszkélkedhet, amelyek aktívan ellenőrzik a megfelelő API-kat. Támogatja a GitHub, a GitLab, a fájlrendszerek, az S3, a GCS és a Circle CI beolvasását is, így hihetetlenül sokoldalú.
Nem csak ez, a TruffleHog immár natív támogatással rendelkezik a privát kulcsok azonnali ellenőrzéséhez GitHub-felhasználók millióival és több milliárd TLS-tanúsítvánnyal a legmodernebb Driftwood technológiájával. Még a bináris fájlokat és más fájlformátumokat is képes beolvasni, biztosítva ezzel, hogy ne maradjon szó nélkül.
Sőt, a TruffleHog GitHub-műveletként és előzetes véglegesítési horogként is elérhető, zökkenőmentesen integrálva a fejlesztési munkafolyamatba. Úgy tervezték, hogy kényelmes és felhasználóbarát legyen, és további biztonsági réteget nyújt anélkül, hogy felesleges gondokat okozna.
Az eszközkészletében található Truffle Hog segítségével magabiztosan védheti kódját a véletlenszerű expozíciótól, és elzárhatja titkait. Tehát próbálja ki a Truffle Hog-ot, és hagyja, hogy varázslatosan megőrizze projektjeit.
Git Hound
A GitHound túllép más eszközök korlátain, kihasználva a GitHub-kódkeresést, a mintaegyeztetést és a véglegesítési előzmények keresését. A teljes GitHubon kereshet, nem csak adott adattárak, felhasználók vagy szervezetek között. Milyen menő ez?
Most pedig merüljünk el fantasztikus tulajdonságaiban. A Git Hound a GitHub/Gist kódkeresést használja, lehetővé téve a GitHub hatalmas kiterjedésében szétszórt, bárki által feltöltött érzékeny információk pontos meghatározását. Olyan ez, mint egy kincsestérkép a lehetséges sebezhetőségek feltárására.
A GitHound azonban nem áll meg itt. Az érzékeny adatokat mintaillesztés, kontextuális információk és karakterlánc-entrópia alkalmazásával érzékeli. Még az elkövetési előzményekbe is beleásik, hogy megtalálja a helytelenül törölt titkokat, biztosítva ezzel, hogy ne maradjon szó nélkül.
Életének leegyszerűsítése érdekében a GitHound egy pontozási rendszert tartalmaz, amely kiszűri a gyakori téves pozitívakat, és optimalizálja a keresést az intenzív adattár-ásáshoz. Úgy tervezték, hogy időt és erőfeszítést takarítson meg.
És képzeld csak? A Git Hound base64 észlelési és dekódolási képességekkel rendelkezik. Felfedheti a base64 formátumba kódolt rejtett titkokat, ami extra előnyt biztosít az érzékeny információk keresésében.
Mi több, a GitHound lehetőségeket kínál nagyobb rendszerekbe való integrálására. Létrehozhat JSON-kimenetet, és testreszabhatja a regexeket az Ön egyedi igényei szerint. Ez a rugalmasságról szól, és arról, hogy felhatalmazza Önt arra, hogy az alapjaira építsen.
Most pedig beszéljünk izgalmas használati eseteiről. A vállalati világban a GitHound felbecsülhetetlen értékűvé válik a nyilvánosságra hozott ügyfél API-kulcsok keresésében. Segít megóvni az érzékeny információkat, biztosítva a legmagasabb szintű biztonságot.
A bogárfejvadászok számára a Git Hound egy játékmódváltó. Lehetővé teszi kiszivárgott alkalmazotti API-tokenek keresését, segít feltárni a sebezhetőségeket, és megszerezni a jól megérdemelt jutalmakat. Hát nem csodálatos a Git Hound?
Gitleaks
A Gitleaks célja, hogy megkönnyítse az életét. Ez egy könnyen használható, minden az egyben megoldás, amely felismeri a titkokat, akár a kód múltjában, akár jelenében vannak eltemetve. Mondjon búcsút a jelszavak, API-kulcsok vagy tokenek felfedésének kockázatától a projektekben.
A Gitleaks telepítése gyerekjáték. Használhatja a Homebrew-t, a Dockert vagy a Go-t, ízlésétől függően. Ráadásul rugalmas megvalósítási lehetőségeket kínál. Beállíthatja előzetes véglegesítési horogként közvetlenül a tárhelyen, vagy kihasználhatja a Gitleaks-Action előnyeit, hogy zökkenőmentesen integrálja a GitHub munkafolyamataiba. Minden azon múlik, hogy megtalálja az Önnek legmegfelelőbb beállítást.
Most pedig beszéljünk a Gitleaks által kínált parancsokról. Először is megvan a „detect” parancs. Ez a hatékony parancs lehetővé teszi a tárhelyek, könyvtárak és egyedi fájlok vizsgálatát. Akár a saját gépén, akár CI-környezetben dolgozik, a Gitleaks mindent megtesz. Biztosítja, hogy ne csússzon ki titok a réseken.
De ez még nem minden. A Gitleaks biztosítja a „protect” parancsot is. Ez a parancs megvizsgálja a Git-tárolók kifejezetten nem véglegesített módosításait. Utolsó védelmi vonalként működik, megakadályozva a titkok akaratlan elkövetését. Ez egy olyan biztosíték, amely tisztán és biztonságosan tartja a kódot.
A Tines, egy megbízható név az iparágban, szponzorálja a Gitleaks-et. Támogatásukkal a Gitleaks folyamatosan fejlődik és javul, és a legjobb titkos észlelési képességeket biztosítja Önnek.
Szóval, fiatal szakembereim, ne engedjék, hogy a titkok veszélybe sodorják projektjeiteket. Telepítse, állítsa be, és hagyja, hogy ő végezze el az adattárak ellenőrzésének és védelmének kemény munkáját
Repo biztonsági szkenner
A repo biztonsági szkenner egy felbecsülhetetlen értékű parancssori eszköz, amelyet arra terveztek, hogy segítse a véletlenül elkövetett érzékeny adatok, például jelszavak, tokenek, privát kulcsok és egyéb titkok azonosítását a Git-tárhelyen belül.
Ez a hatékony eszköz lehetővé teszi, hogy proaktívan észlelje és kezelje azokat a potenciális biztonsági réseket, amelyek abból erednek, hogy bizalmas információk véletlenül szerepelnek a kódbázisban. A repo biztonsági szkenner használatával biztosíthatja a tárhely integritását, és megóvhatja érzékeny adatait az illetéktelen hozzáféréstől.
A Repo Security Scanner könnyedén elmélyül a teljes adattár történetében, és gyorsan bemutatja az átfogó vizsgálati eredményeket. Alapos vizsgálatokkal képes proaktívan azonosítani és gyorsan kezelni a lehetséges biztonsági réseket, amelyek a nyílt forráskódú szoftverek titkaiból eredhetnek.
Git Guardian
A GitGuardian egy olyan eszköz, amely lehetővé teszi a fejlesztők, a biztonsági és a megfelelőségi csapatok számára, hogy valós időben figyeljék a GitHub tevékenységét, és azonosítsák a felfedett titkok, például API-tokenek, biztonsági tanúsítványok, adatbázis-hitelesítő adatok stb. miatti sebezhetőséget.
A GitGuardian lehetővé teszi a csapatok számára, hogy biztonsági szabályzatokat kényszerítsenek ki privát és nyilvános kódokban és egyéb adatforrásokban.
A GitGuardian főbb jellemzői;
- Az eszköz segít megtalálni az érzékeny információkat, például a privát forráskód titkait,
- Azonosítsa és javítsa ki az érzékeny adatok szivárgását a nyilvános GitHubon.
- Ez egy hatékony, átlátható és könnyen beállítható titkosfelderítő eszköz.
- Szélesebb lefedettség és átfogó adatbázis, amely szinte minden veszélyeztetett érzékeny információt lefed.
- Kifinomult mintaillesztési technikák, amelyek javítják a felfedezési folyamatot és a hatékonyságot.
Következtetés
Remélem, ez ötletet ad arra, hogyan találhat érzékeny adatokat a GitHub-tárházban. Ha AWS-t használ, tekintse meg ezt a cikket az AWS biztonságának és hibás konfigurációjának vizsgálatához. Maradjon velünk az izgalmasabb eszközökkel, amelyek javítják szakmai életét. Boldog kódolást, és tartsd elzárva ezeket a titkokat! 🔒