Πώς να σαρώσετε το αποθετήριο GitHub για διαπιστευτήρια;

από
Tweet
Share
Share
Pin

Μάθετε εάν το αποθετήριο GitHub περιέχει ευαίσθητες πληροφορίες, όπως κωδικό πρόσβασης, μυστικά κλειδιά, εμπιστευτικές πληροφορίες κ.λπ.

Το GitHub χρησιμοποιείται από εκατομμύρια χρήστες για φιλοξενία και κοινή χρήση κωδικών. Είναι φανταστικό, αλλά μερικές φορές εσείς/προγραμματιστές/ιδιοκτήτες κώδικα μπορεί να απορρίψετε κατά λάθος εμπιστευτικές πληροφορίες σε ένα δημόσιο χώρο αποθήκευσης, κάτι που μπορεί να είναι καταστροφή.

Υπάρχουν πολλά περιστατικά όπου διέρρευσαν εμπιστευτικά δεδομένα στο GitHub. Δεν μπορείτε να εξαλείψετε το ανθρώπινο λάθος, αλλά μπορείτε να αναλάβετε δράση για να το μειώσετε.

Πώς διασφαλίζετε ότι το αποθετήριο σας δεν περιέχει κωδικό πρόσβασης ή κλειδί;

Απλή απάντηση – μην αποθηκεύετε.

Ως βέλτιστη πρακτική, θα πρέπει κανείς να χρησιμοποιεί λογισμικό μυστικής διαχείρισης για την αποθήκευση όλων των ευαίσθητων πληροφοριών.

Αλλά στην πραγματικότητα, δεν μπορείτε να ελέγξετε τη συμπεριφορά των άλλων αν εργάζεστε σε μια ομάδα.

BTW, εάν χρησιμοποιείτε το Git για να αρχικοποιήσετε και να αναπτύξετε την εφαρμογή σας, δημιουργείται φάκελος .git και εάν είναι προσβάσιμος μέσω του Διαδικτύου, ενδέχεται να αποκαλύψει ευαίσθητη επιβεβαίωση – κάτι που δεν θέλετε και θα πρέπει να εξετάσετε το ενδεχόμενο αποκλεισμού του .git URI.

Οι παρακάτω λύσεις σάς βοηθούν να βρείτε λάθη στο αποθετήριο σας.

Μυστική σάρωση

Η λειτουργία μυστικής σάρωσης του GitHub είναι ένα ισχυρό εργαλείο που εντοπίζει τυχαία μυστικά που κρύβονται στον κώδικά σας, προστατεύοντας από διαρροές δεδομένων και παραβιασμούς. Λειτουργεί απρόσκοπτα τόσο για δημόσια όσο και για ιδιωτικά αποθετήρια, χτενίζοντας σχολαστικά κάθε γωνιά για να αποκαλύψει τυχόν μυστικά.

Όμως οι δυνατότητές του συνεχίζονται. Μόλις ανακαλυφθεί ένα μυστικό, το GitHub λαμβάνει προληπτικά μέτρα ειδοποιώντας τους αντίστοιχους παρόχους υπηρεσιών, ωθώντας τους να μετριάσουν γρήγορα τυχόν πιθανούς κινδύνους. Όσον αφορά τα ιδιωτικά αποθετήρια, το GitHub κάνει το επιπλέον βήμα ειδοποιώντας τους ιδιοκτήτες ή τους διαχειριστές οργανισμών, διασφαλίζοντας ότι τα σωστά άτομα στην ομάδα σας ενημερώνονται αμέσως για την κατάσταση.

Για να παρέχεται συνεχής ορατότητα, οι προειδοποιήσεις εμφανίζονται ευδιάκριτα μέσα στο αποθετήριο, χρησιμεύοντας ως σαφές μήνυμα για εσάς και την ομάδα σας για να προβείτε σε άμεση δράση. Η λειτουργία μυστικής σάρωσης του GitHub λειτουργεί ως άγρυπνος σύμμαχός σας, εργάζεται επιμελώς για να διασφαλίσει ότι κανένα μυστικό δεν περνά απαρατήρητο και τα έργα σας παραμένουν ασφαλή.

Απολαύστε τη δύναμη της μυστικής σάρωσης και κωδικοποίησης με σιγουριά, γνωρίζοντας ότι οι ευαίσθητες πληροφορίες σας προστατεύονται.

Git Secrets

Επιτρέψτε μου να σας παρουσιάσω τα git-secrets, ένα εργαλείο που μπορεί να μας σώσει από την αμηχανία της κατά λάθος προσθήκης μυστικών στα αποθετήρια του Git. Σαρώνει δεσμεύσεις, δεσμεύει μηνύματα και συγχωνεύει για να αποτρέψει μυστική διαρροή στον κώδικά μας.

Για να ξεκινήσετε στα Windows, απλώς εκτελούμε το σενάριο install.ps1 PowerShell. Αντιγράφει τα απαραίτητα αρχεία σε έναν κατάλογο εγκατάστασης και τα προσθέτει στο PATH του χρήστη μας. Αυτό κάνει τα git-secrets εύκολα προσβάσιμα από οπουδήποτε στο περιβάλλον ανάπτυξης μας.

Μόλις εγκατασταθεί, το git-secrets γίνεται ο προσεκτικός μας φύλακας, ελέγχοντας εάν οποιοδήποτε μήνυμα δέσμευσης, δέσμευσης ή ιστορικό συγχώνευσης ταιριάζει με τα διαμορφωμένα απαγορευμένα μοτίβα μας. Εάν εντοπίσει ταίριασμα, απορρίπτει τη δέσμευση, εμποδίζοντας ευαίσθητες πληροφορίες να γλιστρήσουν μέσα από τις ρωγμές.

Μπορούμε να προσθέσουμε μοτίβα τυπικών εκφράσεων σε ένα αρχείο .gitallowed στον ριζικό κατάλογο του αποθετηρίου για να βελτιστοποιήσουμε τα git-secrets. Αυτό βοηθά στο φιλτράρισμα τυχόν γραμμών που ενδέχεται να προκαλέσουν μια προειδοποίηση, αλλά είναι νόμιμες, επιτυγχάνοντας τη σωστή ισορροπία μεταξύ ασφάλειας και άνεσης.

  Εμφανίζει το Bumble ανενεργά προφίλ;

Κατά τη σάρωση ενός αρχείου, τα git-secrets εξάγουν όλες τις γραμμές που ταιριάζουν με απαγορευμένα μοτίβα και παρέχουν λεπτομερείς πληροφορίες, συμπεριλαμβανομένων των διαδρομών αρχείων, των αριθμών γραμμών και των αντίστοιχων γραμμών. Ελέγχει επίσης εάν οι αντιστοιχισμένες γραμμές ταιριάζουν με τα καταχωρημένα επιτρεπόμενα μοτίβα μας. Η δέσμευση ή η συγχώνευση θεωρείται ασφαλής εάν τα επιτρεπόμενα μοτίβα ακυρώνουν όλες τις επισημασμένες γραμμές. Ωστόσο, τα git-secrets μπλοκάρουν τη διαδικασία εάν τυχόν αντιστοιχισμένες γραμμές δεν ταιριάζουν με ένα επιτρεπόμενο μοτίβο.

Κατά τη χρήση git-secrets, πρέπει να είμαστε προσεκτικοί. Τα απαγορευμένα μοτίβα δεν πρέπει να είναι πολύ ευρεία και τα επιτρεπόμενα σχέδια δεν πρέπει να είναι πολύ επιτρεπτά. Δοκιμάζοντας τα μοτίβα μας χρησιμοποιώντας ad-hoc κλήσεις για τη συλλογή μυστικών – scan $filename διασφαλίζει ότι λειτουργούν όπως προβλέπεται.

Αν θέλετε να βουτήξετε βαθύτερα στα git-secrets ή θέλετε να συμβάλετε στην ανάπτυξή του, θα βρείτε το έργο στο GitHub. Είναι ένα έργο ανοιχτού κώδικα που ενθαρρύνει τις συνεισφορές της κοινότητας. Γίνετε μέλος της κοινότητας και κάντε τη διαφορά!

Με τα git-secrets, μπορούμε να κωδικοποιούμε με σιγουριά, γνωρίζοντας ότι τα τυχαία μυστικά δεν θα θέσουν σε κίνδυνο τα έργα μας. Ας αγκαλιάσουμε αυτό το εργαλείο και ας διατηρήσουμε τις ευαίσθητες πληροφορίες μας ασφαλείς.

Επόπτης Repo

Έχω αυτά τα συναρπαστικά νέα: Το Repo-supervisor είναι ένα ισχυρό εργαλείο που εντοπίζει μυστικά και κωδικούς πρόσβασης στον κώδικά σας. Η εγκατάστασή του είναι παιχνιδάκι—απλώς προσθέστε ένα webhook στο αποθετήριο GitHub. Το Repo-supervisor προσφέρει δύο τρόπους: σάρωση αιτημάτων έλξης στο GitHub ή σάρωση τοπικών καταλόγων από τη γραμμή εντολών. Επιλέξτε τη λειτουργία που σας ταιριάζει καλύτερα.

Για να ξεκινήσετε το ταξίδι σας στο git-secrets, απλώς επισκεφτείτε το αποθετήριο GitHub και κατεβάστε την πιο πρόσφατη έκδοση. Εκεί, θα ανακαλύψετε πακέτα προσαρμοσμένα για την ανάπτυξη AWS Lambda και μια φιλική προς το χρήστη λειτουργία CLI. Με τη λειτουργία CLI, μπορείτε να βουτήξετε απευθείας χωρίς καμία επιπλέον ρύθμιση, ενώ η λειτουργία αιτήματος έλξης απαιτεί την ανάπτυξη στο AWS Lambda. Επιλέξτε την επιλογή που ταιριάζει στις ανάγκες σας και ξεκινήστε να αξιοποιείτε τη δύναμη των git-secrets για να ενισχύσετε την ασφάλεια της βάσης κωδικών σας!

Στη λειτουργία CLI, παρέχετε έναν κατάλογο ως όρισμα και ο Repo-supervisor σαρώνει τους υποστηριζόμενους τύπους αρχείων, επεξεργάζοντας κάθε αρχείο με ένα tokenizer συγκεκριμένο για τον τύπο του. Εκτελεί ελέγχους ασφαλείας στις εξαγόμενες συμβολοσειρές και παρέχει σαφείς αναφορές σε απλό κείμενο ή μορφή JSON.

Για τη λειτουργία αιτήματος έλξης, το Repo-supervisor επεξεργάζεται ωφέλιμα φορτία webhook, εξάγει τροποποιημένα αρχεία και εκτελεί ελέγχους ασφαλείας στις εξαγόμενες συμβολοσειρές. Εάν εντοπιστούν προβλήματα, ορίζει την κατάσταση CI σε σφάλμα, συνδέοντας την αναφορά. Κανένα πρόβλημα σημαίνει επιτυχημένη κατάσταση CI.

Το Repo-supervisor είναι ένας εκπληκτικός επιθεωρητής κώδικα που διατηρεί ασφαλή τα μυστικά και τους κωδικούς μας. Διασφαλίζει την ακεραιότητα της βάσης κωδικών μας, η οποία είναι ζωτικής σημασίας στην επαγγελματική μας ζωή.

Δοκιμάστε το Repo-supervisor! Εγκαταστήστε το, διαμορφώστε το webhook και αφήστε το να σαρώσει για μυστικά και κωδικούς πρόσβασης. Απολαύστε το επιπλέον επίπεδο ασφάλειας!

Τρούφα Γουρούνι

Επιτρέψτε μου να σας παρουσιάσω ένα απίστευτο εργαλείο που ονομάζεται Truffle Hog. Θεωρήστε το πιστό σας σύντροφο κώδικα, που μυρίζει επιμελώς κάθε ίχνος ευαίσθητων πληροφοριών που κρύβονται στα αποθετήρια σας. Ο Truffle Hog είναι μάστορας στο να εμβαθύνει στην ιστορία του έργου σας, σαρώνοντας σχολαστικά για πιθανές διαρροές πολύτιμων μυστικών, όπως κλειδιά API και κωδικούς πρόσβασης.

Με το οπλοστάσιο ελέγχων υψηλής εντροπίας και μοτίβα regex, αυτό το εργαλείο είναι έτοιμο να αποκαλύψει αυτούς τους κρυμμένους θησαυρούς και να διασφαλίσει ότι ο κώδικάς σας παραμένει ασφαλής. Πείτε αντίο στις μυστικές διαρροές και αγκαλιάστε την άγρυπνη προστασία του Truffle Hog!

  Τόσο τοπικές όσο και βασισμένες στο cloud

Και εδώ είναι το καλύτερο μέρος: η τελευταία έκδοση του Truffle Hog είναι γεμάτη με πολλά νέα ισχυρά χαρακτηριστικά. Τώρα διαθέτει πάνω από 700 ανιχνευτές διαπιστευτηρίων που επαληθεύουν ενεργά με τα αντίστοιχα API τους. Υποστηρίζει επίσης τη σάρωση GitHub, GitLab, συστημάτων αρχείων, S3, GCS και Circle CI, καθιστώντας το απίστευτα ευέλικτο.

Όχι μόνο αυτό, το TruffleHog έχει τώρα εγγενή υποστήριξη για άμεση επαλήθευση ιδιωτικών κλειδιών έναντι εκατομμυρίων χρηστών GitHub και δισεκατομμυρίων πιστοποιητικών TLS χρησιμοποιώντας την τεχνολογία αιχμής Driftwood. Μπορεί ακόμη και να σαρώσει δυαδικά αρχεία και άλλες μορφές αρχείων, διασφαλίζοντας ότι δεν θα μείνει απαρατήρητη.

Επιπλέον, το TruffleHog είναι διαθέσιμο τόσο ως GitHub Action όσο και ως hook προ-δέσμευσης, ενσωματώνοντας απρόσκοπτα στη ροή εργασιών ανάπτυξής σας. Είναι σχεδιασμένο να είναι βολικό και φιλικό προς το χρήστη, παρέχοντας ένα επιπλέον επίπεδο ασφάλειας χωρίς να προκαλεί περιττή ταλαιπωρία.

Με το Truffle Hog στην εργαλειοθήκη σας, μπορείτε να προστατεύσετε με σιγουριά τον κώδικά σας από τυχαίες εκθέσεις και να κρατήσετε τα μυστικά σας κλειδωμένα. Δοκιμάστε λοιπόν το Truffle Hog και αφήστε το να κάνει τα μαγικά του για την προστασία των έργων σας.

Git Hound

Το GitHound υπερβαίνει τους περιορισμούς άλλων εργαλείων αξιοποιώντας την αναζήτηση κώδικα GitHub, την αντιστοίχιση μοτίβων και την αναζήτηση ιστορικού δέσμευσης. Μπορεί να κάνει αναζήτηση σε ολόκληρο το GitHub, όχι μόνο σε συγκεκριμένα αποθετήρια, χρήστες ή οργανισμούς. Πόσο ωραίο είναι αυτό;

Τώρα, ας βουτήξουμε στα φανταστικά χαρακτηριστικά του. Το Git Hound χρησιμοποιεί την αναζήτηση κώδικα GitHub/Gist, επιτρέποντάς του να εντοπίσει ευαίσθητες πληροφορίες διάσπαρτες στην τεράστια έκταση του GitHub, που ανεβαίνουν από οποιονδήποτε. Είναι σαν να έχετε έναν χάρτη θησαυρού για να αποκαλύψετε πιθανά τρωτά σημεία.

Αλλά το GitHound δεν σταματά εκεί. Ανιχνεύει ευαίσθητα δεδομένα χρησιμοποιώντας αντιστοίχιση προτύπων, πληροφορίες συμφραζομένων και εντροπία συμβολοσειρών. Σκάβει ακόμη και βαθιά στην ιστορία των δεσμεύσεων για να βρει μυστικά που έχουν διαγραφεί ακατάλληλα, διασφαλίζοντας ότι δεν θα αφεθεί κανένας λίθος.

Για να απλοποιήσει τη ζωή σας, το GitHound ενσωματώνει ένα σύστημα βαθμολόγησης που φιλτράρει τα κοινά ψευδώς θετικά και βελτιστοποιεί την αναζήτησή του για εντατική εκσκαφή αποθετηρίου. Έχει σχεδιαστεί για να σας εξοικονομεί χρόνο και προσπάθεια.

Και μάντεψε τι? Το Git Hound είναι εξοπλισμένο με δυνατότητες ανίχνευσης και αποκωδικοποίησης base64. Μπορεί να αποκαλύψει κρυμμένα μυστικά κωδικοποιημένα σε μορφή base64, δίνοντάς σας ένα επιπλέον πλεονέκτημα στο κυνήγι ευαίσθητων πληροφοριών.

Επιπλέον, το GitHound προσφέρει επιλογές για την ενσωμάτωσή του σε μεγαλύτερα συστήματα. Μπορείτε να δημιουργήσετε έξοδο JSON και να προσαρμόσετε τα regexes σύμφωνα με τις συγκεκριμένες ανάγκες σας. Έχει να κάνει με την ευελιξία και την ενδυνάμωση σας να χτίσετε πάνω στα θεμέλιά του.

Τώρα, ας μιλήσουμε για τις συναρπαστικές περιπτώσεις χρήσης του. Στον εταιρικό κόσμο, το GitHound γίνεται ανεκτίμητο στην αναζήτηση κλειδιών API εκτεθειμένων πελατών. Βοηθά στην προστασία ευαίσθητων πληροφοριών, διασφαλίζοντας το υψηλότερο επίπεδο ασφάλειας.

Για τους κυνηγούς επικηρυγμένων σφαλμάτων, το Git Hound αλλάζει το παιχνίδι. Σας δίνει τη δυνατότητα να αναζητήσετε διακριτικά API υπαλλήλων που διέρρευσαν, βοηθώντας σας να ανακαλύψετε τρωτά σημεία και να κερδίσετε αυτά τα οφέλη που τους αξίζει. Δεν είναι καταπληκτικό το Git Hound;

Gitleaks

Το Gitleaks έχει σχεδιαστεί για να κάνει τη ζωή σας πιο εύκολη. Είναι μια εύχρηστη λύση όλα σε ένα που εντοπίζει μυστικά, είτε είναι θαμμένα στο παρελθόν είτε στο παρόν του κώδικά σας. Πείτε αντίο στον κίνδυνο έκθεσης κωδικών πρόσβασης, κλειδιών API ή διακριτικών στα έργα σας.

  16 Βέλτιστες πρακτικές μάρκετινγκ ηλεκτρονικού ταχυδρομείου που μετατρέπουν τους συνδρομητές σε πωλήσεις

Η εγκατάσταση του Gitleaks είναι παιχνιδάκι. Μπορείτε να χρησιμοποιήσετε Homebrew, Docker ή Go, ανάλογα με τις προτιμήσεις σας. Επιπλέον, προσφέρει ευέλικτες επιλογές υλοποίησης. Μπορείτε να το ρυθμίσετε ως άγκιστρο προ-δέσμευσης απευθείας στο αποθετήριο σας ή να επωφεληθείτε από το Gitleaks-Action για να το ενσωματώσετε απρόσκοπτα στις ροές εργασίας σας στο GitHub. Το παν είναι να βρείτε τη ρύθμιση που σας ταιριάζει καλύτερα.

Τώρα, ας μιλήσουμε για τις εντολές που προσφέρει το Gitleaks. Αρχικά, έχουμε την εντολή «ανίχνευση». Αυτή η ισχυρή εντολή σάς δίνει τη δυνατότητα να σαρώσετε αποθετήρια, καταλόγους και μεμονωμένα αρχεία. Είτε εργάζεστε στο δικό σας μηχάνημα είτε σε περιβάλλον CI, το Gitleaks σας έχει καλύψει. Εξασφαλίζει ότι κανένα μυστικό δεν γλιστράει μέσα από τις ρωγμές.

Αλλά δεν είναι μόνο αυτό. Το Gitleaks παρέχει επίσης την εντολή “προστασία”. Αυτή η εντολή σαρώνει ρητά μη δεσμευμένες αλλαγές στα αποθετήρια Git σας. Λειτουργεί ως η τελευταία γραμμή άμυνάς σας, αποτρέποντας την ακούσια διάπραξη μυστικών. Είναι μια διασφάλιση που διατηρεί τον κωδικό σας καθαρό και ασφαλή.

Η Tines, ένα αξιόπιστο όνομα στον κλάδο, χορηγεί το Gitleaks. Με την υποστήριξή τους, το Gitleaks συνεχίζει να εξελίσσεται και να βελτιώνεται, παρέχοντάς σας τις καλύτερες δυνατότητες μυστικής ανίχνευσης.

Λοιπόν, νέοι επαγγελματίες μου, μην αφήνετε τα μυστικά να διακυβεύουν τα έργα σας. Εγκαταστήστε το, ρυθμίστε το και αφήστε το να κάνει τη σκληρή δουλειά της σάρωσης και της προστασίας των αποθετηρίων σας

Repo Security Scanner

Ο σαρωτής ασφαλείας repo είναι ένα ανεκτίμητο εργαλείο γραμμής εντολών που έχει σχεδιαστεί για να βοηθά στον εντοπισμό ευαίσθητων δεδομένων που δεσμεύονται ακούσια, όπως κωδικούς πρόσβασης, διακριτικά, ιδιωτικά κλειδιά και άλλα μυστικά, μέσα στο αποθετήριο Git.

Αυτό το ισχυρό εργαλείο σάς δίνει τη δυνατότητα να εντοπίζετε προληπτικά και να αντιμετωπίζετε πιθανές ευπάθειες ασφαλείας που προκύπτουν από την ακούσια συμπερίληψη εμπιστευτικών πληροφοριών στη βάση κωδίκων σας. Χρησιμοποιώντας τον σαρωτή ασφαλείας repo, μπορείτε να διασφαλίσετε την ακεραιότητα του αποθετηρίου σας και να προστατέψετε τα ευαίσθητα δεδομένα σας από μη εξουσιοδοτημένη πρόσβαση.

Το Repo Security Scanner εμβαθύνει αβίαστα σε ολόκληρο το ιστορικό του αποθετηρίου, παρουσιάζοντας γρήγορα ολοκληρωμένα αποτελέσματα σάρωσης. Διεξάγοντας ενδελεχείς σαρώσεις, σας δίνει τη δυνατότητα να εντοπίζετε προληπτικά και να αντιμετωπίζετε γρήγορα πιθανές ευπάθειες ασφαλείας που μπορεί να προκύψουν από εκτεθειμένα μυστικά σε λογισμικό ανοιχτού κώδικα.

Git Guardian

Το GitGuardian είναι ένα εργαλείο που επιτρέπει στους προγραμματιστές, στις ομάδες ασφάλειας και συμμόρφωσης να παρακολουθούν τη δραστηριότητα του GitHub σε πραγματικό χρόνο και να εντοπίζουν τρωτά σημεία που οφείλονται σε εκτεθειμένα μυστικά όπως διακριτικά API, πιστοποιητικά ασφαλείας, διαπιστευτήρια βάσης δεδομένων κ.λπ.

Το GitGuardian επιτρέπει στις ομάδες να επιβάλλουν πολιτικές ασφαλείας σε ιδιωτικό και δημόσιο κώδικα και άλλες πηγές δεδομένων.

Τα κύρια χαρακτηριστικά του GitGuardian είναι:

  • Το εργαλείο βοηθά στην εύρεση ευαίσθητων πληροφοριών, όπως μυστικά στον ιδιωτικό πηγαίο κώδικα,
  • Προσδιορίστε και διορθώστε διαρροές ευαίσθητων δεδομένων στο δημόσιο GitHub.
  • Είναι ένα αποτελεσματικό, διαφανές και εύκολο στη ρύθμιση εργαλείο μυστικής ανίχνευσης.
  • Ευρύτερη κάλυψη και ολοκληρωμένη βάση δεδομένων για την κάλυψη σχεδόν κάθε ευαίσθητης πληροφορίας σε κίνδυνο.
  • Εξελιγμένες τεχνικές αντιστοίχισης προτύπων που βελτιώνουν τη διαδικασία ανακάλυψης και την αποτελεσματικότητα.

συμπέρασμα

Ελπίζω ότι αυτό σας δίνει μια ιδέα για την εύρεση ευαίσθητων δεδομένων στο αποθετήριο GitHub. Εάν χρησιμοποιείτε AWS, τότε ανατρέξτε σε αυτό το άρθρο για να σαρώσετε την ασφάλεια και τις εσφαλμένες ρυθμίσεις παραμέτρων AWS. Μείνετε συντονισμένοι για περισσότερα συναρπαστικά εργαλεία που θα βελτιώσουν την επαγγελματική σας ζωή. Καλή κωδικοποίηση και κρατήστε αυτά τα μυστικά κλειδωμένα μακριά! 🔒