geekflare
Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
By chandan kumar in La Seguridad  |  Última actualización: 6 de septiembre de 2022
Comparte en:

¿Cómo escanear el repositorio de GitHub en busca de credenciales?

gitHub
Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Averigüe si su repositorio de GitHub contiene información sensible como contraseña, clave secreta, confidencial, etc.

Millones de usuarios utilizan GitHub para alojar y compartir los códigos. Es fantástico, pero a veces los desarrolladores / propietarios de código pueden volcar accidentalmente información confidencial en un repositorio público, lo que puede ser un desastre.

Hay muchos incidentes en los que se filtraron datos confidenciales en GitHub. No puede eliminar el error humano, pero puede tomar medidas para reducirlo.

¿Cómo se asegura de que su repositorio no contenga una contraseña o clave?

Respuesta simple - no almacenar.

Como mejor práctica, se debe utilizar software de gestión secreta para almacenar toda la información sensible.

Pero en realidad, no puedes controlar el comportamiento de otras personas si trabajas en equipo.

Por cierto, si usa Git para inicializar e implementar su aplicación, crea .git carpeta, y si se puede acceder a ella a través de Internet, puede exponer la confirmación confidencial. Que no quieres y deberías considerar bloquear .git ESCRIBE.

Gracias a la siguiente solución, que te ayuda a encontrar errores en tu repositorio.

Gittyleaks

Una utilidad gratuita basada en Python para encontrar palabras como un usuario, contraseña, correo electrónico en una cadena, configuración o formatos JSON.

gittyleaks

Gittyleaks se puede instalar usando pip y tiene una opción para encontrar datos sospechosos.

Secrets Scanning

GitHub tiene secretos característica de escaneo que escanea los repositorios en busca de secretos cometidos accidentalmente. Identificar y corregir dichas vulnerabilidades ayuda a evitar que los atacantes encuentren y utilicen de manera fraudulenta los secretos para acceder a los servicios con los privilegios de la cuenta comprometida.

Github-secret-escaneo-flujo

Los aspectos más destacados incluyen;

  • GitHub ayuda a escanear y detectar los secretos ocultos accidentalmente, lo que le permite evitar fugas de datos y compromisos.
  • Puede escanear repositorios públicos y privados mientras alerta a los proveedores de servicios que han emitido los secretos detectados para su mitigación.
  • Para los repositorios privados, GitHub alerta a los propietarios o administradores de la organización y también muestra una advertencia en el repositorio.

Git Secrets

Publicado por AWS Labs, como puede adivinar por el nombre, busca los secretos. Secretos de Git ayudaría a evitar la confirmación de claves de AWS agregando un patrón.

Le permite buscar un archivo o carpeta de forma recursiva. Si sospecha que el repositorio de su proyecto puede contener una clave de AWS, este sería un excelente lugar para comenzar.

Repo Supervisor

Supervisor de repos by Auth0 le permite encontrar errores de configuración, contraseña, etc.

supervisor de repositorios

Es una herramienta sin servidor que se puede instalar dentro de un Contenedor Docker o cualquier servidor que utilice NPM.

Truffle Hog

Una de las utilidades más populares para encontrar secretos en todas partes, incluidas las ramas, confirmar el historial.

Cerdo de trufa buscar usando expresiones regulares y entropía, y el resultado se imprime en la pantalla.

trufa-cerdo

Puedes instalar usando pip

pip install truffleHog

Git Hound

Un complemento de git basado en GO, Git perro, ayuda a evitar que se envíen datos confidenciales en un repositorio contra PCRE (Expresiones regulares compatibles con Perl).

Está disponible en una versión binaria para Windows, Linux, Darwin, etc. Útil si no tiene instalado GO.

Gitrob

Gitrob le facilita el análisis del hallazgo en una interfaz web. Está basado en Go, por lo que es un requisito previo.

Watchtower

Escáner impulsado por IA para detectar claves API, secretos e información confidencial. API Watchtower Radar le permite integrarse con el repositorio público o privado de GitHub, AWS, GitLab, Twilio, etc. Los resultados del análisis están disponibles en una interfaz web o salida CLI.

atalaya-ai

Repo Security Scanner

Escáner de seguridad de repositorio es una herramienta de línea de comandos que le ayuda a descubrir contraseñas, tokens, claves privadas y otros secretos confiados accidentalmente al repositorio de git al enviar datos confidenciales.

Esta es una herramienta fácil de usar que investiga todo el historial de repositorios y proporciona los resultados del análisis rápidamente. El escaneo le permite identificar y abordar las posibles vulnerabilidades de seguridad que los secretos expuestos introducen en el software de código abierto.

Repo-escáner de seguridad

GitGuardian

GitGuardian es una herramienta que permite a los desarrolladores, equipos de seguridad y cumplimiento monitorear la actividad de GitHub en tiempo real e identificar vulnerabilidades debido a secretos expuestos como tokens API, certificados de seguridad, credenciales de bases de datos, etc.

Video de Youtube

GitGuardian permite a los equipos aplicar políticas de seguridad en código público y privado y otras fuentes de datos.

Las principales características de GitGuardian son;

  • La herramienta ayuda a encontrar información sensible como secretos en el código fuente privado,
  • Identifique y corrija las fugas de datos confidenciales en GitHub público,
  • Es una herramienta de detección de secretos eficaz, transparente y fácil de configurar.
  • Cobertura más amplia y una base de datos completa para cubrir casi cualquier información confidencial en riesgo
  • Técnicas sofisticadas de coincidencia de patrones que mejoran el proceso de descubrimiento y la eficacia.

Conclusión

Espero que esto le dé una idea de cómo encontrar datos confidenciales en el repositorio de GitHub. Si está utilizando AWS, consulte este artículo para analizar la seguridad y la mala configuración de AWS.

Etiquetado como
Gracias a nuestros patrocinadores
Más lecturas interesantes sobre seguridad
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • invicti
    Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Datos brillantes
    Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush
    Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Intente Intruder