Ontdek of uw GitHub-repository gevoelige informatie bevat, zoals wachtwoorden, geheime sleutels, vertrouwelijke informatie, enz.
GitHub wordt door miljoenen gebruikers gebruikt om codes te hosten en te delen. Het is fantastisch, maar soms kunnen jij/ontwikkelaars/code-eigenaren per ongeluk vertrouwelijke informatie in een openbare repository dumpen, wat een ramp kan zijn.
Er zijn veel incidenten waarbij vertrouwelijke gegevens op GitHub zijn gelekt. U kunt menselijke fouten niet elimineren, maar u kunt wel actie ondernemen om die te verminderen.
Hoe zorg je ervoor dat je repository geen wachtwoord of sleutel bevat?
Eenvoudig antwoord – niet opslaan.
Als best practice moet men software voor geheimbeheer gebruiken om alle gevoelige informatie op te slaan.
Maar in werkelijkheid heb je geen controle over het gedrag van andere mensen als je in een team werkt.
Trouwens, als je Git gebruikt om je applicatie te initialiseren en te implementeren, maakt het een .git-map aan, en als het toegankelijk is via internet, kan het gevoelige bevestiging blootleggen – wat je niet wilt en zou moeten overwegen om .git URI te blokkeren.
De volgende oplossingen helpen u om fouten in uw repository te vinden.
Geheim scannen
De geheime scanfunctie van GitHub is een krachtige tool die per ongeluk verborgen geheimen in uw code detecteert en beschermt tegen datalekken en compromissen. Het werkt naadloos voor zowel openbare als privé-repository’s en doorzoekt nauwgezet elk hoekje en gaatje om verborgen geheimen te ontdekken.
Maar zijn mogelijkheden gaan door. Zodra een geheim is ontdekt, neemt GitHub proactieve maatregelen door de respectieve serviceproviders te waarschuwen en hen ertoe aan te zetten eventuele risico’s snel te beperken. Wat privérepository’s betreft, gaat GitHub een stap verder door de eigenaren of beheerders van de organisatie op de hoogte te stellen, zodat de juiste personen binnen uw team onmiddellijk op de hoogte worden gebracht van de situatie.
Om continue zichtbaarheid te bieden, worden waarschuwingen prominent weergegeven in de repository, die dienen als een duidelijk signaal voor u en uw team om snel actie te ondernemen. De geheime scanfunctie van GitHub fungeert als uw waakzame bondgenoot en werkt ijverig om ervoor te zorgen dat geen enkel geheim onopgemerkt blijft en uw projecten veilig blijven.
Omarm de kracht van geheim scannen en coderen met vertrouwen, wetende dat uw gevoelige informatie wordt beschermd.
Git-geheimen
Laat me je voorstellen aan git-secrets, een tool die ons kan behoeden voor de verlegenheid van het per ongeluk toevoegen van geheimen aan onze Git-repositories. Het scant commits, commit-berichten en merges om geheime lekkage in onze code te voorkomen.
Om met Windows aan de slag te gaan, voeren we eenvoudig het install.ps1 PowerShell-script uit. Het kopieert de benodigde bestanden naar een installatiemap en voegt ze toe aan onze gebruiker PATH. Dit maakt git-geheimen gemakkelijk toegankelijk vanaf elke plek in onze ontwikkelomgeving.
Eenmaal geïnstalleerd, wordt git-secrets onze waakzame bewaker, die controleert of een commit, commit-bericht of merge-geschiedenis overeenkomt met onze geconfigureerde verboden patronen. Als het een match detecteert, verwerpt het de commit, waardoor wordt voorkomen dat gevoelige informatie door de kieren glipt.
We kunnen patronen voor reguliere expressies toevoegen aan een .gitallowed-bestand in de hoofdmap van de repository om git-geheimen te verfijnen. Dit helpt bij het filteren van alle regels die een waarschuwing kunnen activeren, maar legitiem zijn, waardoor de juiste balans wordt gevonden tussen veiligheid en gemak.
Bij het scannen van een bestand extraheert git-secrets alle regels die overeenkomen met verboden patronen en geeft gedetailleerde informatie, inclusief bestandspaden, regelnummers en de overeenkomende regels. Het controleert ook of de overeenkomende lijnen overeenkomen met onze geregistreerde toegestane patronen. De commit of merge wordt als veilig beschouwd als toegestane patronen alle gemarkeerde regels opheffen. Git-secrets blokkeren het proces echter als overeenkomende regels niet overeenkomen met een toegestaan patroon.
Bij het gebruik van git-secrets moeten we voorzichtig zijn. Verboden patronen mogen niet te breed zijn en toegestane patronen mogen niet te tolerant zijn. Door onze patronen te testen met behulp van ad-hoc-oproepen om geheimen te giten – scan $filename zorgt ervoor dat ze werken zoals bedoeld.
Als je graag dieper in git-geheimen wilt duiken of wilt bijdragen aan de ontwikkeling ervan, vind je het project op GitHub. Het is een open-sourceproject dat bijdragen van de gemeenschap aanmoedigt. Word lid van de community en maak het verschil!
Met git-secrets kunnen we vol vertrouwen coderen, wetende dat toevallige geheimen onze projecten niet in gevaar brengen. Laten we deze tool omarmen en onze gevoelige informatie veilig houden.
Repo-supervisor
Ik heb dit opwindende nieuws: Repo-supervisor is een krachtig hulpmiddel dat geheimen en wachtwoorden in uw code detecteert. Het installeren is een fluitje van een cent: voeg gewoon een webhook toe aan je GitHub-repository. Repo-supervisor biedt twee modi: het scannen van pull-aanvragen op GitHub of het scannen van lokale mappen vanaf de opdrachtregel. Kies de modus die het beste bij u past.
Om aan je git-secrets-reis te beginnen, ga je naar de GitHub-repository en download je de meest recente release. Daar ontdek je bundels die op maat zijn gemaakt voor AWS Lambda-implementatie en een gebruiksvriendelijke CLI-modus. Met de CLI-modus kun je er meteen induiken zonder extra instellingen, terwijl de pull request-modus implementatie naar AWS Lambda vereist. Kies de optie die bij je past en gebruik de kracht van git-secrets om de beveiliging van je codebase te versterken!
Geef in CLI-modus een map op als argument en Repo-supervisor scant ondersteunde bestandstypen, waarbij elk bestand wordt verwerkt met een tokenizer die specifiek is voor het betreffende type. Het voert beveiligingscontroles uit op geëxtraheerde tekenreeksen en biedt duidelijke rapporten in platte tekst of JSON-indeling.
Voor de pull-aanvraagmodus verwerkt Repo-supervisor webhook-payloads, extraheert gewijzigde bestanden en voert beveiligingscontroles uit op de geëxtraheerde tekenreeksen. Als er problemen worden gevonden, wordt de CI-status ingesteld op fout, gekoppeld aan het rapport. Geen problemen betekent een succesvolle CI-status.
Repo-supervisor is een geweldige code-inspecteur die onze geheimen en wachtwoorden veilig houdt. Het zorgt voor de integriteit van onze codebase, die cruciaal is in ons professionele leven.
Probeer Repo-supervisor eens! Installeer het, configureer de webhook en laat het scannen op geheimen en wachtwoorden. Geniet van de extra beveiligingslaag!
Truffel Hog
Sta me toe je kennis te laten maken met een ongelooflijke tool genaamd Truffle Hog. Beschouw het als uw trouwe codepartner, ijverig op zoek naar elk spoor van gevoelige informatie dat op de loer ligt in uw repositories. Truffle Hog is een meester in het diep graven in de geschiedenis van uw project, waarbij hij nauwgezet scant op mogelijke lekken van waardevolle geheimen zoals API-sleutels en wachtwoorden.
Met zijn arsenaal aan controles met hoge entropie en regex-patronen, is deze tool klaar om deze verborgen schatten op te graven en ervoor te zorgen dat uw code veilig blijft. Zeg vaarwel tegen geheime lekken en omarm de waakzame bescherming van Truffle Hog!
En dit is het beste: de nieuwste versie van Truffle Hog zit boordevol nieuwe, krachtige functies. Het beschikt nu over meer dan 700 referentiedetectoren die actief verifiëren aan de hand van hun respectievelijke API’s. Het ondersteunt ook het scannen van GitHub, GitLab, bestandssystemen, S3, GCS en Circle CI, waardoor het ongelooflijk veelzijdig is.
Niet alleen dat, TruffleHog heeft nu native ondersteuning voor directe verificatie van privésleutels tegen miljoenen GitHub-gebruikers en miljarden TLS-certificaten met behulp van de allernieuwste Driftwood-technologie. Het kan zelfs binaire bestanden en andere bestandsindelingen scannen, zodat er geen middel onbeproefd blijft.
Bovendien is TruffleHog beschikbaar als zowel een GitHub Action als een pre-commit hook, waardoor het naadloos kan worden geïntegreerd in uw ontwikkelworkflow. Het is ontworpen om handig en gebruiksvriendelijk te zijn en een extra beveiligingslaag te bieden zonder onnodig gedoe te veroorzaken.
Met Truffle Hog in je toolkit kun je je code vol vertrouwen beschermen tegen onbedoelde blootstelling en je geheimen achter slot en grendel houden. Dus probeer Truffle Hog eens, en laat het zijn magie werken bij het beschermen van uw projecten.
Git-hond
GitHound gaat verder dan de beperkingen van andere tools door gebruik te maken van het zoeken naar GitHub-code, het zoeken naar patronen en het zoeken naar commit-geschiedenis. Het kan de hele GitHub doorzoeken, niet alleen specifieke repositories, gebruikers of organisaties. Hoe cool is dat?
Laten we nu eens kijken naar de fantastische functies ervan. Git Hound maakt gebruik van GitHub/Gist-codezoekopdrachten, waardoor het gevoelige informatie kan lokaliseren die verspreid is over de enorme uitgestrektheid van GitHub en door iedereen is geüpload. Het is alsof je een schatkaart hebt om potentiële kwetsbaarheden te ontdekken.
Maar daar stopt GitHound niet. Het detecteert gevoelige gegevens door gebruik te maken van patroonvergelijking, contextuele informatie en string-entropie. Het graaft zelfs diep in de commit-geschiedenis om onjuist verwijderde geheimen te vinden, zodat er geen middel onbeproefd blijft.
Om uw leven te vereenvoudigen, bevat GitHound een scoresysteem dat veelvoorkomende fout-positieven uitfiltert en de zoektocht naar intensief repository-graven optimaliseert. Het is ontworpen om u tijd en moeite te besparen.
En raad eens? Git Hound is uitgerust met base64-detectie- en decoderingsmogelijkheden. Het kan verborgen geheimen onthullen die zijn gecodeerd in base64-indeling, waardoor u een extra voorsprong krijgt in uw zoektocht naar gevoelige informatie.
Bovendien biedt GitHound opties om het in grotere systemen te integreren. U kunt JSON-uitvoer genereren en regexes aanpassen aan uw specifieke behoeften. Het draait allemaal om flexibiliteit en u in staat stellen om op de basis te bouwen.
Laten we het nu hebben over de opwindende use-cases. In de zakenwereld wordt GitHound van onschatbare waarde bij het zoeken naar blootgestelde klant-API-sleutels. Het helpt gevoelige informatie te beschermen en zorgt voor het hoogste beveiligingsniveau.
Voor bug premiejagers is Git Hound een game-wisselaar. Hiermee kunt u zoeken naar gelekte API-tokens voor werknemers, waardoor u kwetsbaarheden kunt ontdekken en die welverdiende premies kunt verdienen. Is Git Hound niet geweldig?
Gitleaks
Gitleaks is ontworpen om uw leven gemakkelijker te maken. Het is een gebruiksvriendelijke alles-in-één oplossing die geheimen detecteert, of ze nu in het verleden of heden van uw code zijn begraven. Zeg vaarwel tegen het risico van het blootstellen van wachtwoorden, API-sleutels of tokens in uw projecten.
Het installeren van Gileaks is een fluitje van een cent. U kunt Homebrew, Docker of Go gebruiken, afhankelijk van uw voorkeur. Bovendien biedt het flexibele implementatiemogelijkheden. Je kunt het instellen als een pre-commit hook direct in je repository of profiteren van Gitleaks-Action om het naadloos te integreren in je GitHub-workflows. Het gaat erom de opstelling te vinden die het beste bij je past.
Laten we het nu hebben over de opdrachten die Gitleaks aanbiedt. Ten eerste hebben we het commando “detect”. Met deze krachtige opdracht kunt u opslagplaatsen, mappen en individuele bestanden scannen. Of u nu op uw eigen machine werkt of in een CI-omgeving, Gitleaks heeft u gedekt. Het zorgt ervoor dat er geen geheim tussen de kieren glipt.
Maar dat is niet alles. Gitleaks biedt ook het commando “beschermen”. Deze opdracht scant expliciet niet-vastgelegde wijzigingen in uw Git-opslagplaatsen. Het fungeert als uw laatste verdedigingslinie en voorkomt dat geheimen onbedoeld worden vrijgegeven. Het is een beveiliging die uw code schoon en veilig houdt.
Tines, een vertrouwde naam in de branche, sponsort Gitleaks. Met hun ondersteuning blijft Gitleaks evolueren en verbeteren, waardoor u de beste geheime detectiemogelijkheden krijgt.
Dus, mijn jonge professionals, laat geheimen uw projecten niet in gevaar brengen. Installeer het, stel het in en laat het het harde werk doen van het scannen en beschermen van uw opslagplaatsen
Repo-beveiligingsscanner
De repo-beveiligingsscanner is een onschatbare opdrachtregeltool die is ontworpen om te helpen bij de identificatie van onbedoeld vastgelegde gevoelige gegevens, zoals wachtwoorden, tokens, privésleutels en andere geheimen, binnen uw Git-repository.
Deze krachtige tool stelt u in staat om proactief potentiële beveiligingsproblemen op te sporen en aan te pakken die voortkomen uit het onbedoeld opnemen van vertrouwelijke informatie in uw codebase. Door de repo-beveiligingsscanner te gebruiken, kunt u de integriteit van uw repository waarborgen en uw gevoelige gegevens beschermen tegen ongeoorloofde toegang.
Repo Security Scanner duikt moeiteloos in de geschiedenis van de hele repository en presenteert snel uitgebreide scanresultaten. Door grondige scans uit te voeren, stelt het u in staat om proactief potentiële beveiligingsproblemen te identificeren en snel aan te pakken die kunnen voortvloeien uit blootgestelde geheimen in open-source software.
Git Guardian
GitGuardian is een tool waarmee ontwikkelaars, beveiligings- en complianceteams GitHub-activiteiten in realtime kunnen volgen en kwetsbaarheden kunnen identificeren als gevolg van blootgestelde geheimen zoals API-tokens, beveiligingscertificaten, databasereferenties, enz.
Met GitGuardian kunnen de teams beveiligingsbeleid afdwingen in privé- en openbare code en andere gegevensbronnen.
De belangrijkste kenmerken van GitGuardian zijn;
- De tool helpt bij het vinden van gevoelige informatie, zoals geheimen in de privé-broncode,
- Identificeer en repareer gevoelige datalekken op openbare GitHub.
- Het is een effectieve, transparante en eenvoudig in te stellen tool voor het opsporen van geheimen.
- Bredere dekking en uitgebreide database voor bijna alle gevoelige informatie die gevaar loopt.
- Geavanceerde technieken voor het matchen van patronen die het ontdekkingsproces en de effectiviteit verbeteren.
Conclusie
Ik hoop dat dit je een idee geeft van het vinden van gevoelige gegevens in de GitHub-repository. Als u AWS gebruikt, lees dan dit artikel om AWS-beveiliging en verkeerde configuratie te scannen. Blijf op de hoogte voor meer opwindende tools die uw professionele leven zullen verbeteren. Veel codeerplezier en houd die geheimen achter slot en grendel! 🔒
