¿Cómo escanear el repositorio de GitHub en busca de credenciales? [8 herramientas]

Averigüe si su repositorio de GitHub contiene información confidencial, como contraseña, claves secretas, información confidencial, etc.

GitHub is used by millions of users to host and share codes. It’s fantastic, but sometimes you/developers/code owners can accidentally dump confidential information in a public repository, which can be a disaster.

There are many incidents where confidential data was leaked on GitHub. You can’t eliminate human error but can take action to reduce that.

¿Cómo se asegura de que su repositorio no contenga una contraseña o clave?

Respuesta simple: no almacenar.

Como mejor práctica, se debe utilizar software de gestión secreta para almacenar toda la información confidencial.

Pero en realidad, no puedes controlar el comportamiento de otras personas si trabajas en equipo.

BTW, if you use Git to initialize and deploy your application, it creates .git carpeta, y si se puede acceder a través de Internet, puede exponer una confirmación confidencial, que no desea y debe considerar bloqueando .git ESCRIBE.

Las siguientes soluciones lo ayudan a encontrar errores en su repositorio.

Escaneo secreto

De GitHub escaneo secreto feature is a powerful tool that detects accidental secrets hidden in your code, safeguarding against data leaks and compromises. It works seamlessly for both public and private repositories, meticulously combing through every nook and cranny to uncover any slipped secrets. 

But its capabilities continue. Once a secret is discovered, GitHub takes proactive measures by alerting the respective service providers, prompting them to mitigate any potential risks swiftly. Regarding private repositories, GitHub goes the extra mile by notifying organization owners or administrators, ensuring that the right individuals within your team are immediately made aware of the situation. 

To provide continuous visibility, warnings are prominently displayed within the repository, serving as a clear signal for you and your team to take prompt action. GitHub’s secret scanning feature acts as your vigilant ally, diligently working to ensure that no secret goes unnoticed and your projects remain secure. 

Aproveche el poder del escaneo y el código secretos con confianza, sabiendo que su información confidencial está protegida.

Secretos de Git

Déjame presentarte a git-secretos, a tool that can save us from the embarrassment of accidentally adding secrets to our Git repositories. It scans commits, commit messages, and merges to prevEnt fuga secreta en nuestro código.

Para empezar Windows, we simply run the install.ps1 PowerShell script. It copies the necessary files to an installation directory and adds them to our user PATH. This makes git-secrets easily accessible from anywhere in our development environment.

Once installed, git-secrets becomes our watchful guardian, checking if any commit, commit message, or merge history matches our configured prohibited patterns. If it detects a match, it rejects the commit, prevevitar que la información sensible se escape por las grietas.

We can add regular expression patterns to a .gitallowed file in the repository’s root directory to fine-tune git-secrets. This helps filter out any lines that might trigger a warning but are legitimate, striking the right balance between security and convenience.

When scanning a file, git-secrets extract all lines that match prohibited patterns and provide detailed information, including file paths, line numbers, and the matched lines. It also checks whether the matched lines match our registered allowed patterns. The commit or merge is considered safe if allowed patterns cancel out all flagged lines. However, git-secrets block the process if any matched lines don’t match an allowed pattern.

While using git-secrets, we need to be cautious. Prohibited patterns should not be too broad, and allowed patterns should not be too permissive. Testing our patterns using ad-hoc calls to git secrets –scan $filename ensures they work as intended.

Si está ansioso por profundizar en los secretos de git o desea contribuir a su desarrollo, encontrará el proyecto en GitHub. Es un proyecto de código abierto que fomenta las contribuciones de la comunidad. ¡Únete a la comunidad y marca la diferencia!

Con git-secrets, podemos codificar con confianza, sabiendo que los secretos accidentales no pondrán en peligro nuestros proyectos. Adoptemos esta herramienta y mantengamos segura nuestra información confidencial.

Supervisor de repos

Tengo esta emocionante noticia: supervisor de reportos es una poderosa herramienta que detecta secretos y contraseñas en su código. Instalarlo es muy sencillo: simplemente agregue un webhook a su repositorio de GitHub. Repo-supervisor ofrece dos modos: escanear solicitudes de extracción en GitHub o escanear directorios locales desde la línea de comandos. Elige el modo que más te convenga.

To embark on your git-secrets journey, simply visit the GitHub repository and download the most recent release. There, you’ll discover bundles tailored for AWS Lambda deployment and a user-friendly CLI mode. With the CLI mode, you can dive right in without any extra setup, while the pull request mode necessitates deploying to AWS Lambda. Choose the option that suits your needs and start harnessing the power of git-secrets to bolster the security of your codebase!

In CLI mode, provide a directory as an argument, and Repo-supervisor scans supported file types, processing each file with a tokenizer specific to its type. It runs security checks on extracted strings and provides clear reports in plain text or JSON format.

For pull request mode, Repo-supervisor processes webhook payloads, extracts modified files, and performs security checks on the extracted strings. If issues are found, it sets the CI status to error, linking to the report. No issues mean a successful CI status.

Repo-supervisor is an amazing code inspector that keeps our secrets and passwords secure. It ensures the integrity of our codebase, which is crucial in our professional lives.

Give Repo-supervisor a try! Install it, configure the webhook, and let it scan for secrets and passwords. Enjoy the extra layer of security!

Cerdo de trufa

Permítame presentarle una herramienta increíble llamada Cerdo de trufa. Considérelo su leal compañero de código, rastreando diligentemente cualquier rastro de información confidencial que aceche dentro de sus repositorios. Truffle Hog es un maestro en profundizar en la historia de su proyecto, escaneando meticulosamente en busca de posibles filtraciones de secretos valiosos, como claves API y contraseñas.

Con su arsenal de comprobaciones de alta entropía y patrones de expresiones regulares, esta herramienta está preparada para descubrir estos tesoros ocultos y garantizar que su código permanezca seguro. ¡Dile adiós a las filtraciones secretas y abraza la protección vigilante de Truffle Hog!

And here’s the best part: Truffle Hog’s latest version is packed with many new powerful features. It now boasts over 700 credential detectors that actively verify against their respective APIs. It also supports scanning GitHub, GitLab, filesystems, S3, GCS, and Circle CI, making it incredibly versatile.

Not only that, TruffleHog now has native support for instant verification of private keys against millions of GitHub users and billions of Certificado TLSates utilizando su tecnología de punta Drifttecnología de la madera. Incluso puede escanear archivos binarios y otros formatos de archivos, asegurando que no quede piedra sin remover.

What’s more, TruffleHog is available as both a GitHub Action and a pre-commit hook, seamlessly integrating into your development workflow. It’s designed to be convenient and user-friendly, providing an extra layer of security without causing unnecessary hassle.

Con Truffle Hog en su conjunto de herramientas, puede proteger con confianza su código de exposiciones accidentales y mantener sus secretos bajo llave. Así que pruebe Truffle Hog y deje que haga su magia para salvaguardar sus proyectos. 

Git perro

GitHound goes beyond the limitations of other tools by leveraging GitHub code search, pattern matching, and commit history searching. It can search the entire GitHub, not just specific repositories, users, or organizations. How cool is that?

Ahora, profundicemos en sus fantásticas características. Git Hound utiliza la búsqueda de código de GitHub/Gist, lo que le permite identificar información confidencial dispersa en la vasta extensión de GitHub, cargada por cualquier persona. Es como tener un mapa del tesoro para descubrir posibles vulnerabilidades.

Pero GitHound no se detiene allí. Detecta datos confidenciales empleando coincidencia de patrones, información contextual y entropía de cadenas. Incluso profundiza en el historial de confirmaciones para encontrar secretos eliminados incorrectamente, asegurando que no quede piedra sin remover.

To simplify your life, GitHound incorporates a scoring system that filters out common false positives and optimizes its search for intensive repository digging. It’s designed to save you time and effort.

And guess what? Git Hound is equipped with base64 detection and decoding capabilities. It can unveil hidden secrets encoded in base64 format, giving you an extra edge in your hunt for sensitive information.

What’s more, GitHound offers options to integrate it into larger systems. You can generate JSON output and customize regexes according to your specific needs. It’s all about flexibility and empowering you to build upon its foundation.

Now, let’s talk about its exciting use cases. In the corporate world, GitHound becomes invaluable in searching for exposed customer API keys. It helps safeguard sensitive information, ensuring the highest level of security.

Si recompensa de errores hunters, Git Hound is a game-changer. It enables you to search for leaked employee API tokens, helping you uncover vulnerabilities and earn those well-deserved bounties. Isn’t Git Hound amazing? 

gitleaks

gitleaks está diseñado para hacer su vida más fácil. Es una solución todo en uno fácil de usar que detecta secretos, ya sea que estén enterrados en el pasado o presente de su código. Di adiós al riesgo de exponer contraseñas, claves de API o tokens en tus proyectos.

Instalar Gileaks es muy sencillo. Puedes usar Homebrew, Docker, or Go, depending on your preference. Plus, it offers flexible implementation options. You can set it up as a pre-commit hook directly in your repository or take advantage of Gitleaks-Action to integrate it seamlessly into your GitHub workflows. Se trata de encontrar la configuración que más le convenga.

Ahora, hablemos de los comandos que ofrece Gitleaks. Primero, tenemos el comando "detectar". Este poderoso comando le permite escanear repositorios, directorios y archivos individuales. Ya sea que trabaje en su propia máquina o en un entorno de CI, Gitleaks lo tiene cubierto. Asegura que ningún secreto se escape por las grietas.

Pero eso no es todo. Gitleaks también proporciona el comando "proteger". Este comando escanea cambios explícitamente no confirmados en sus repositorios de Git. Actúa como tu última línea de defensa, prevEntrar secretos para que no se cometan inadvertidamente. Es una protección que mantiene su código limpio y seguro.

Tines, un nombre de confianza en la industria, patrocina Gitleaks. Con su apoyo, Gitleaks continúa evolucionando y mejorando, ofreciéndole las mejores capacidades de detección de secretos.

Entonces, mis jóvenes profesionales, no dejen que los secretos comprometan sus proyectos. Instálelo, configúrelo y déjelo hacer el trabajo duro de escanear y proteger sus repositorios

Escáner de seguridad de repositorio

El escáner de seguridad de repositorios is an invaluable command-line tool designed to aid in the identification of inadvertently committed sensitive data, such as passwords, tokens, private keys, and other secrets, within your Git repository.

Esta poderosa herramienta empowers you to proactively detect and address potential security vulnerabilities arising from the unintentional inclusion of confidential information in your codebase. By employing the repo security scanner, you can ensure the integrity of your repository and safeguard your sensitive data from unauthorized access.

Escáner de seguridad de repositorio effortlessly delves into the entire repository’s history, swiftly presenting comprehensive scan results. By conducting thorough scans, it empowers you to proactively identify and swiftly address potential security vulnerabilities that may arise from exposed secrets in open-source software.

Guardián Git

GitGuardian is a tool that enables developers, security, and compliance teams to monitor GitHub activity in real time and identify vulnerabilities due to exposed secrets like API tokens, security certificates, database credentials, etc.

GitGuardian allows the teams to enforce security policies in private and public code and other data sources.

Las principales características de GitGuardian son;

• The tool helps to find sensitive information, such as secrets in the private código fuente,
• Identifique y corrija las fugas de datos confidenciales en GitHub público.
• Es una herramienta de detección de secretos eficaz, transparente y fácil de configurar.
• Cobertura más amplia y base de datos integral para cubrir casi cualquier información confidencial en riesgo. 
• Sofísticoated pattern-matching techniques that improve the discovery process y efectividad.

Para Concluir

Espero que esto le dé una idea de cómo encontrar datos confidenciales en el repositorio de GitHub. Si está utilizando AWS, consulte este artículo para analizar la seguridad y la mala configuración de AWS. Estén atentos a las herramientas más emocionantes que mejorarán su vida profesional. ¡Feliz codificación y mantén esos secretos bajo llave! 🔒