Otkrijte da li vaše GitHub skladište sadrži osetljive podatke, poput lozinki, tajnih ključeva i poverljivih informacija.
GitHub je platforma koju milioni korisnika koriste za hostovanje i deljenje kodova. To je sjajno, ali ponekad se desi da vi, programeri ili vlasnici koda, nehotice ubacite poverljive informacije u javno skladište, što može dovesti do katastrofalnih posledica.
Mnogo je primera gde su osetljivi podaci procurili na GitHub. Ne možete u potpunosti eliminisati ljudsku grešku, ali možete preduzeti korake da je svedete na minimum.
Kako možete osigurati da vaše skladište ne sadrži lozinke ili ključeve?
Jednostavan odgovor je – nemojte ih čuvati u njemu.
Kao najbolja praksa, trebalo bi da koristite softver za upravljanje tajnama za čuvanje svih osetljivih informacija.
Međutim, realnost je da ne možete kontrolisati ponašanje drugih članova tima.
Uz to, ako koristite Git za inicijalizaciju i implementaciju aplikacije, on kreira .git folder. Ukoliko je taj folder dostupan preko interneta, može otkriti osetljive akreditive. Stoga, trebalo bi da razmislite o blokiranju pristupa .git URI-ju.
Sledeća rešenja vam mogu pomoći da pronađete eventualne propuste u vašem skladištu.
Skeniranje tajni
GitHub-ova funkcija skeniranja tajni je moćan alat koji detektuje slučajno sakrivene tajne u vašem kodu, štiteći vas od curenja podataka i kompromitacije. Funkcioniše besprekorno i za javna i za privatna skladišta, pažljivo analizirajući svaki deo koda kako bi pronašao skrivene tajne.
Njene mogućnosti se tu ne zaustavljaju. Kada se otkrije tajna, GitHub preduzima proaktivne korake, upozoravajući odgovarajuće provajdere usluga i podstičući ih da brzo umanje potencijalne rizike. U slučaju privatnih skladišta, GitHub obaveštava vlasnike ili administratore organizacija, osiguravajući da odgovarajući članovi vašeg tima budu odmah upoznati sa situacijom.
Radi obezbeđivanja konstantne vidljivosti, upozorenja se jasno prikazuju u skladištu, služeći kao jasan signal za vas i vaš tim da preduzmete neophodne korake. GitHub-ova funkcija skeniranja tajni deluje kao vaš saveznik, posvećeno radeći na tome da nijedna tajna ne ostane neprimećena i da vaši projekti ostanu sigurni.
Iskoristite moć skeniranja tajni i kodirajte sa sigurnošću, znajući da su vaše osetljive informacije zaštićene.
Git Secrets
Predstavljam vam git-secrets, alat koji nas može spasiti od neprijatnosti slučajnog dodavanja tajni u naša Git repozitorijuma. On skenira komitove, komit poruke i merge-ove kako bi sprečio curenje tajni u našem kodu.
Da biste započeli na Windows-u, jednostavno pokrenite install.ps1 PowerShell skriptu. Ona kopira potrebne fajlove u instalacioni direktorijum i dodaje ga u korisnički PATH. Ovo omogućava da git-secrets bude lako dostupan sa bilo koje lokacije u vašem razvojnom okruženju.
Nakon instalacije, git-secrets postaje vaš budni čuvar, proveravajući da li se bilo koji komit, komit poruka ili merge poklapaju sa konfigurisanim zabranjenim obrascima. Ako detektuje poklapanje, odbacuje komit, sprečavajući osetljive informacije da prođu kroz pukotine.
Možemo dodati regularne izraze u .gitallowed fajl u osnovnom direktorijumu skladišta da precizno podesimo git-secrets. Ovo pomaže u filtriranju svih linija koje mogu pokrenuti upozorenje, ali su legitimne, uspostavljajući balans između sigurnosti i pogodnosti.
Prilikom skeniranja fajla, git-secrets ekstrahuje sve linije koje se poklapaju sa zabranjenim obrascima i pruža detaljne informacije, uključujući putanje do fajlova, brojeve redova i odgovarajuće linije. Takođe proverava da li se poklapanja slažu sa registrovanim dozvoljenim obrascima. Komit ili merge se smatra bezbednim ako dozvoljeni obrasci poništavaju sve označene linije. Međutim, git-secrets blokira proces ako bilo koja linija ne odgovara dozvoljenom obrascu.
Tokom korišćenja git-secrets-a, moramo biti oprezni. Zabranjeni obrasci ne bi trebali biti previše široki, a dozvoljeni obrasci ne bi trebali biti previše dozvoljavajući. Testiranje naših obrazaca koristeći git secrets – scan $filename osigurava da oni rade kako je predviđeno.
Ako želite da detaljnije istražite git-secrets ili želite da doprinesete njegovom razvoju, pronaći ćete projekat na GitHub-u. To je projekat otvorenog koda koji podstiče doprinos zajednice. Pridružite se zajednici i napravite razliku!
Uz git-secrets, možemo pouzdano kodirati, znajući da slučajne tajne neće ugroziti naše projekte. Prihvatite ovaj alat i zaštitite svoje osetljive informacije.
Repo Supervisor
Imam uzbudljivu vest: Repo-supervisor je moćan alat koji otkriva tajne i lozinke u vašem kodu. Instalacija je jednostavna – samo dodajte webhook u svoje GitHub skladište. Repo-supervisor nudi dva režima: skeniranje pull request-ova na GitHub-u ili skeniranje lokalnih direktorijuma iz komandne linije. Odaberite režim koji vam najviše odgovara.
Da biste krenuli na putovanje sa git tajnama, posetite GitHub skladište i preuzmite najnoviju verziju. Tamo ćete pronaći pakete prilagođene za AWS Lambda primenu i CLI režim prilagođen korisniku. Sa CLI režimom, možete direktno započeti bez dodatnih podešavanja, dok pull request režim zahteva primenu na AWS Lambda. Odaberite opciju koja odgovara vašim potrebama i počnite da koristite moć git tajni da biste poboljšali sigurnost vaše baze koda!
U CLI režimu, obezbedite direktorijum kao argument i Repo-supervisor skenira podržane tipove datoteka, obrađujući svaki fajl pomoću tokenizera specifičnog za njegov tip. Pokreće bezbednosne provere ekstrahovanih stringova i pruža jasne izveštaje u plain text ili JSON formatu.
Za pull request režim, Repo-supervisor obrađuje korisne podatke webhook-a, ekstrahuje izmenjene datoteke i vrši bezbednosne provere ekstrahovanih stringova. Ako se pronađu problemi, postavlja CI status na grešku, povezujući se sa izveštajem. Ako nema problema, CI status je uspešan.
Repo-supervisor je neverovatan inspektor koda koji čuva naše tajne i lozinke. On osigurava integritet naše kodne baze, što je ključno u našem profesionalnom životu.
Isprobajte Repo-supervisor! Instalirajte ga, konfigurišite webhook i prepustite mu da skenira tajne i lozinke. Uživajte u dodatnom sloju sigurnosti!
Truffle Hog
Predstavljam vam sjajan alat pod nazivom Truffle Hog. Smatrajte ga svojim vernim pratiocem koda, koji marljivo njuši tragove osetljivih informacija koje vrebaju u vašim skladištima. Truffle Hog je majstor u dubokom zaranjanju u istoriju vašeg projekta, detaljno skenirajući potencijalna curenja vrednih tajni, poput API ključeva i lozinki.
Sa svojim arsenalom provera visoke entropije i regularnih izraza, ovaj alat je spreman da otkrije skrivena blaga i osigura da vaš kod ostane bezbedan. Recite zbogom curenjima tajni i prihvatite budnu zaštitu Truffle Hog-a!
A evo i najbolje vesti: najnovija verzija Truffle Hog-a je prepuna novih moćnih funkcija. Sada se može pohvaliti sa preko 700 detektora akreditiva koji aktivno verifikuju odgovarajuće API-je. Takođe podržava skeniranje GitHub-a, GitLab-a, sistema datoteka, S3, GCS-a i Circle CI-ja, što ga čini neverovatno raznovrsnim.
I ne samo to, TruffleHog sada ima izvornu podršku za trenutnu verifikaciju privatnih ključeva u odnosu na milione GitHub korisnika i milijarde TLS sertifikata koristeći najsavremeniju Driftwood tehnologiju. Može čak da skenira binarne datoteke i druge formate datoteka, osiguravajući da ništa ne ostane nepretraženo.
Štaviše, TruffleHog je dostupan i kao GitHub akcija i kao pre-commit hook, besprekorno se integrišući u vaš razvojni tok. Dizajniran je da bude praktičan i jednostavan za korišćenje, pružajući dodatni nivo sigurnosti bez nepotrebnih problema.
Uz Truffle Hog u svom kompletu alata, možete pouzdano zaštititi svoj kod od slučajnog izlaganja i čuvati svoje tajne zaključane. Isprobajte Truffle Hog i pustite ga da radi svoju magiju u zaštiti vaših projekata.
Git Hound
GitHound prevazilazi ograničenja drugih alata koristeći GitHub pretragu koda, podudaranje šablona i pretragu istorije komitova. Može da pretražuje ceo GitHub, a ne samo određena skladišta, korisnike ili organizacije. Zar to nije sjajno?
Sada, hajde da zaronimo u njegove fantastične karakteristike. Git Hound koristi GitHub/Gist pretragu koda, omogućavajući mu da precizno odredi osetljive informacije rasute po ogromnom prostoru GitHub-a. To je kao da imate mapu blaga za otkrivanje potencijalnih ranjivosti.
Ali GitHound se tu ne zaustavlja. On detektuje osetljive podatke pomoću podudaranja šablona, kontekstualnih informacija i entropije stringova. Čak i kopa duboko u istoriju komitova kako bi pronašao nepravilno izbrisane tajne, osiguravajući da ništa ne ostane nepretraženo.
Kako bi vam pojednostavio život, GitHound uključuje sistem bodovanja koji filtrira uobičajene lažne pozitivne rezultate i optimizuje pretragu za detaljnu analizu skladišta. Dizajniran je da vam uštedi vreme i trud.
I pogodite šta? Git Hound je opremljen base64 mogućnostima detekcije i dekodiranja. Može da otkrije skrivene tajne kodirane u base64 formatu, dajući vam dodatnu prednost u potrazi za osetljivim informacijama.
Štaviše, GitHound nudi opcije za integraciju u veće sisteme. Možete da generišete JSON izlaz i prilagodite regularne izraze svojim potrebama. Sve je u fleksibilnosti i osnaživanju da gradite na njegovim osnovama.
Hajde da pričamo o njegovim zanimljivim slučajevima upotrebe. U korporativnom okruženju, GitHound je neprocenjiv u pronalaženju izloženih API ključeva korisnika. Pomaže u zaštiti osetljivih informacija, obezbeđujući najviši nivo sigurnosti.
Za lovce na bagove, Git Hound menja igru. Omogućava vam da tražite procurele API tokene zaposlenih, pomažući vam da otkrijete ranjivosti i zaradite zaslužene nagrade. Zar Git Hound nije neverovatan?
Gitleaks
Gitleaks je dizajniran da vam olakša život. To je jednostavno, sve-u-jednom rešenje koje otkriva tajne, bilo da su sakrivene u prošlosti ili sadašnjosti vašeg koda. Recite zbogom riziku od izlaganja lozinki, API ključeva ili tokena u vašim projektima.
Instalacija Gitleaks-a je jednostavna. Možete koristiti Homebrew, Docker ili Go, u zavisnosti od vaših preferencija. Osim toga, nudi fleksibilne opcije implementacije. Možete ga podesiti kao pre-commit hook direktno u svom skladištu ili iskoristiti prednosti Gitleaks-Action-a da ga neprimetno integrišete u svoje GitHub radne tokove. Sve je u pronalaženju podešavanja koje vam najviše odgovara.
Sada, hajde da pričamo o komandama koje Gitleaks nudi. Prvo, imamo komandu „detect“. Ova moćna komanda vam omogućava da skenirate skladišta, direktorijume i pojedinačne datoteke. Bez obzira da li radite na sopstvenoj mašini ili u CI okruženju, Gitleaks vas pokriva. Osigurava da nijedna tajna ne prođe kroz pukotine.
Ali to nije sve. Gitleaks takođe pruža komandu „protect“. Ova komanda skenira izričito nepovezane promene u vašim Git repozitorijumima. Deluje kao vaša poslednja linija odbrane, sprečavajući da se tajne nenamerno otkriju. To je zaštita koja čuva vaš kod čistim i sigurnim.
Times, ime od poverenja u industriji, sponzoriše Gitleaks. Uz njihovu podršku, Gitleaks nastavlja da se razvija i poboljšava, pružajući vam najbolje mogućnosti otkrivanja tajnih podataka.
Zato, mladi profesionalci, ne dozvolite da tajne ugroze vaše projekte. Instalirajte ga, podesite i prepustite mu da obavi težak posao skeniranja i zaštite vaših skladišta.
Repo bezbednosni skener
Bezbednosni skener repoa je neprocenjiv alat komandne linije dizajniran da pomogne u identifikaciji nenamerno unesenih osetljivih podataka, kao što su lozinke, tokeni, privatni ključevi i druge tajne, u vašem Git skladištu.
Ovaj moćan alat vam omogućava da proaktivno otkrijete i rešite potencijalne bezbednosne propuste koji proizilaze iz nenamernog uključivanja poverljivih informacija u vašu bazu koda. Korišćenjem bezbednosnog skenera repoa, možete osigurati integritet svog skladišta i zaštititi osetljive podatke od neovlašćenog pristupa.
Repo Security Scanner bez napora prodire u celu istoriju skladišta, brzo pružajući sveobuhvatne rezultate skeniranja. Sprovodeći temeljna skeniranja, omogućava vam da proaktivno identifikujete i brzo rešite potencijalne bezbednosne propuste koji mogu nastati zbog otkrivenih tajni u softveru otvorenog koda.
Git Guardian
GitGuardian je alat koji omogućava programerima, timovima za sigurnost i usklađenost da prate GitHub aktivnosti u realnom vremenu i identifikuju ranjivosti zbog otkrivenih tajni, poput API tokena, sigurnosnih sertifikata, akreditiva baze podataka itd.
GitGuardian omogućava timovima da sprovode bezbednosne politike u privatnom i javnom kodu i drugim izvorima podataka.
Glavne karakteristike GitGuardiana su;
- Alat pomaže da se pronađu osetljive informacije, poput tajni u privatnom izvornom kodu,
- Identifikujte i popravite curenje osetljivih podataka na javnom GitHub-u.
- To je efikasan, transparentan i jednostavan za postavljanje alat za otkrivanje tajni.
- Šira pokrivenost i sveobuhvatna baza podataka koja pokriva skoro sve osetljive informacije koje su u opasnosti.
- Sofisticirane tehnike podudaranja obrazaca koje poboljšavaju proces otkrivanja i efikasnost.
Zaključak
Nadam se da vam ovo daje ideju o pronalaženju osetljivih podataka u GitHub skladištu. Ako koristite AWS, pogledajte ovaj članak da biste skenirali AWS sigurnost i pogrešnu konfiguraciju. Pratite nas za uzbudljivije alate koji će poboljšati vaš profesionalni život. Srećno kodiranje i čuvajte te tajne zaključane! 🔒