Averigüe si su repositorio de GitHub contiene información sensible como contraseña, clave secreta, confidencial, etc.
Millones de usuarios utilizan GitHub para alojar y compartir los códigos. Es fantástico, pero a veces los desarrolladores / propietarios de código pueden volcar accidentalmente información confidencial en un repositorio público, lo que puede ser un desastre.
Hay muchos incidentes en los que se filtraron datos confidenciales en GitHub. No puede eliminar el error humano, pero puede tomar medidas para reducirlo.
¿Cómo se asegura de que su repositorio no contenga una contraseña o clave?
Respuesta simple - no almacenar.
Como mejor práctica, se debe utilizar software de gestión secreta para almacenar toda la información sensible.
Pero en realidad, no puedes controlar el comportamiento de otras personas si trabajas en equipo.
Por cierto, si usa Git para inicializar e implementar su aplicación, crea .git
carpeta, y si se puede acceder a ella a través de Internet, puede exponer la confirmación confidencial. Que no quieres y deberías considerar bloquear .git ESCRIBE.
Gracias a la siguiente solución, que te ayuda a encontrar errores en tu repositorio.
Gittyleaks
Una utilidad gratuita basada en Python para encontrar palabras como un usuario, contraseña, correo electrónico en una cadena, configuración o formatos JSON.
Gittyleaks se puede instalar usando pip y tiene una opción para encontrar datos sospechosos.
Secrets Scanning
GitHub tiene secretos característica de escaneo que escanea los repositorios en busca de secretos cometidos accidentalmente. Identificar y corregir dichas vulnerabilidades ayuda a evitar que los atacantes encuentren y utilicen de manera fraudulenta los secretos para acceder a los servicios con los privilegios de la cuenta comprometida.
Los aspectos más destacados incluyen;
- GitHub ayuda a escanear y detectar los secretos ocultos accidentalmente, lo que le permite evitar fugas de datos y compromisos.
- Puede escanear repositorios públicos y privados mientras alerta a los proveedores de servicios que han emitido los secretos detectados para su mitigación.
- Para los repositorios privados, GitHub alerta a los propietarios o administradores de la organización y también muestra una advertencia en el repositorio.
Git Secrets
Publicado por AWS Labs, como puede adivinar por el nombre, busca los secretos. Secretos de Git ayudaría a evitar la confirmación de claves de AWS agregando un patrón.
Le permite buscar un archivo o carpeta de forma recursiva. Si sospecha que el repositorio de su proyecto puede contener una clave de AWS, este sería un excelente lugar para comenzar.
Repo Supervisor
Supervisor de repos by Auth0 le permite encontrar errores de configuración, contraseña, etc.
Es una herramienta sin servidor que se puede instalar dentro de un Contenedor Docker o cualquier servidor que utilice NPM.
Truffle Hog
Una de las utilidades más populares para encontrar secretos en todas partes, incluidas las ramas, confirmar el historial.
Cerdo de trufa buscar usando expresiones regulares y entropía, y el resultado se imprime en la pantalla.
Puedes instalar usando pip
pip install truffleHog
Git Hound
Un complemento de git basado en GO, Git perro, ayuda a evitar que se envíen datos confidenciales en un repositorio contra PCRE (Expresiones regulares compatibles con Perl).
Está disponible en una versión binaria para Windows, Linux, Darwin, etc. Útil si no tiene instalado GO.
Gitrob
Gitrob le facilita el análisis del hallazgo en una interfaz web. Está basado en Go, por lo que es un requisito previo.
Watchtower
Escáner impulsado por IA para detectar claves API, secretos e información confidencial. API Watchtower Radar le permite integrarse con el repositorio público o privado de GitHub, AWS, GitLab, Twilio, etc. Los resultados del análisis están disponibles en una interfaz web o salida CLI.
Repo Security Scanner
Escáner de seguridad de repositorio es una herramienta de línea de comandos que le ayuda a descubrir contraseñas, tokens, claves privadas y otros secretos confiados accidentalmente al repositorio de git al enviar datos confidenciales.
Esta es una herramienta fácil de usar que investiga todo el historial de repositorios y proporciona los resultados del análisis rápidamente. El escaneo le permite identificar y abordar las posibles vulnerabilidades de seguridad que los secretos expuestos introducen en el software de código abierto.
GitGuardian
GitGuardian es una herramienta que permite a los desarrolladores, equipos de seguridad y cumplimiento monitorear la actividad de GitHub en tiempo real e identificar vulnerabilidades debido a secretos expuestos como tokens API, certificados de seguridad, credenciales de bases de datos, etc.

GitGuardian permite a los equipos aplicar políticas de seguridad en código público y privado y otras fuentes de datos.
Las principales características de GitGuardian son;
- La herramienta ayuda a encontrar información sensible como secretos en el código fuente privado,
- Identifique y corrija las fugas de datos confidenciales en GitHub público,
- Es una herramienta de detección de secretos eficaz, transparente y fácil de configurar.
- Cobertura más amplia y una base de datos completa para cubrir casi cualquier información confidencial en riesgo
- Técnicas sofisticadas de coincidencia de patrones que mejoran el proceso de descubrimiento y la eficacia.
Conclusión
Espero que esto le dé una idea de cómo encontrar datos confidenciales en el repositorio de GitHub. Si está utilizando AWS, consulte este artículo para analizar la seguridad y la mala configuración de AWS.