Geekflare
Geekflare est soutenu par notre public. Nous pouvons gagner des commissions d'affiliation en achetant des liens sur ce site.
By Chandan Kumar in Active Directory  |  Dernière mise à jour : 6 septembre 2022
Partager sur:

Comment analyser le référentiel GitHub pour les informations d'identification?

github
Scanner de sécurité des applications Web Invicti – la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

Découvrez si votre référentiel GitHub contient des informations sensibles telles que mot de passe, clé secrète, confidentiel, etc.

GitHub est utilisé par des millions d'utilisateurs pour héberger et partager les codes. C'est fantastique, mais parfois vous / développeurs / propriétaires de code pouvez accidentellement vider des informations confidentielles dans un référentiel public, ce qui peut être un désastre.

Il y a de nombreux incidents où des données confidentielles ont été divulguées sur GitHub. Vous ne pouvez pas éliminer l'erreur humaine, mais pouvez prendre des mesures pour la réduire.

Comment vous assurez-vous que votre référentiel ne contient pas de mot de passe ou de clé?

Réponse simple - ne pas stocker.

En tant que meilleure pratique, il faut utiliser logiciel de gestion des secrets pour stocker toutes les informations sensibles.

Mais en réalité, vous ne pouvez pas contrôler le comportement des autres si vous travaillez en équipe.

BTW, si vous utilisez Git pour initialiser et déployer votre application, il crée .git dossier, et s'il est accessible sur Internet, il peut exposer la confirmation sensible. Ce que vous ne voulez pas et devriez considérer bloquer .git TAPER.

Grâce à la solution suivante, qui vous aide à trouver des erreurs dans votre référentiel.

Gittyleaks

Un utilitaire gratuit basé sur python pour rechercher des mots tels qu'un utilisateur, un mot de passe, un e-mail dans une chaîne, une configuration ou des formats JSON.

gittyleaks

Gittleleaks peut être installé à l'aide de pip et avoir une option pour trouver des données suspectes.

Secrets Scanning

GitHub a des secrets fonction de numérisation qui scanne les référentiels pour rechercher les secrets commis accidentellement. L'identification et la correction de ces vulnérabilités aident à empêcher les attaquants de trouver et d'utiliser frauduleusement les secrets pour accéder aux services avec les privilèges du compte compromis.

Github-secret-scanning-flow

Les principaux faits saillants comprennent;

  • GitHub permet d'analyser et de détecter les secrets cachés accidentellement, vous permettant d'éviter les fuites de données et les compromis.
  • Il peut analyser les référentiels publics et privés tout en alertant les fournisseurs de services qui ont émis les secrets détectés à des fins de réduction.
  • Pour les référentiels privés, GitHub alerte les propriétaires ou administrateurs de l'organisation et affiche également un avertissement dans le référentiel.

Git Secrets

Publié par AWS Labs, comme vous pouvez le deviner par son nom, il recherche les secrets. Secrets Git aiderait à empêcher la validation de clés AWS en ajoutant un modèle.

Il vous permet de rechercher un fichier ou un dossier de manière récursive. Si vous pensez que votre référentiel de projet peut contenir une clé AWS, ce serait un excellent point de départ.

Repo Supervisor

Superviseur Repo by Auth0 vous permet de trouver une mauvaise configuration, un mot de passe, etc.

repo-superviseur

C'est un outil sans serveur qui peut être installé dans un Conteneur Docker ou tout serveur utilisant NPM.

Truffle Hog

L'un des utilitaires populaires pour trouver des secrets partout, y compris les branches, commet l'historique.

Porc truffe recherche à l'aide de regex et d'entropie, et le résultat est imprimé à l'écran.

porc truffier

Vous pouvez installer à l'aide de pip

pip install truffleHog

Git Hound

Un plugin git basé sur GO, Git Hound, permet d'éviter que des données sensibles ne soient validées dans un référentiel contre PCRE (Perl Compatible Regular Expressions).

Il est disponible en version binaire pour Windows, Linux, Darwin, etc. Utile si vous n'avez pas installé GO.

Gitrob

Gitrob vous permet d'analyser facilement les résultats sur une interface Web. Il est basé sur Go, c'est donc une condition préalable.

Watchtower

Scanner alimenté par l'IA pour détecter les clés API, les secrets et les informations sensibles. API Watchtower Radar vous permet d'intégrer avec le référentiel public ou privé GitHub, AWS, GitLab, Twilio, etc. Les résultats de l'analyse sont disponibles sur une interface Web ou une sortie CLI.

tour de guet-ai

Repo Security Scanner

Scanner de sécurité repo est un outil de ligne de commande qui vous aide à découvrir les mots de passe, jetons, clés privées et autres secrets commis accidentellement dans le référentiel git lors de la transmission de données sensibles.

Il s'agit d'un outil facile à utiliser qui examine l'intégralité de l'historique des dépôts et fournit rapidement les résultats de l'analyse. L'analyse vous permet d'identifier et de résoudre les vulnérabilités de sécurité potentielles que les secrets exposés introduisent dans le logiciel open source.

Repo-security-scanner

GitGuardian

GitGuardian est un outil qui permet aux développeurs, aux équipes de sécurité et de conformité de surveiller l'activité de GitHub en temps réel et d'identifier les vulnérabilités dues aux secrets exposés tels que les jetons d'API, les certificats de sécurité, les informations d'identification de base de données, etc.

YouTube vidéo

GitGuardian permet aux équipes d'appliquer des politiques de sécurité dans le code privé et public et d'autres sources de données.

Les principales fonctionnalités de GitGuardian sont;

  • L'outil aide à trouver des informations sensibles telles que des secrets dans le code source privé,
  • Identifier et corriger les fuites de données sensibles sur GitHub public,
  • C'est un outil de détection de secrets efficace, transparent et facile à mettre en place.
  • Couverture plus large et base de données complète pour couvrir presque toutes les informations sensibles à risque
  • Techniques sophistiquées de correspondance de modèles qui améliorent le processus de découverte et son efficacité.

Conclusion

J'espère que cela vous donne une idée de la recherche de données sensibles dans le référentiel GitHub. Si vous utilisez AWS, consultez cet article pour analyser la sécurité AWS et les erreurs de configuration.

Tagué comme
Merci à nos commanditaires
Plus de bonnes lectures sur la sécurité
Alimentez votre entreprise
Certains des outils et services pour aider votre entreprise à se développer.
  • invicti
    Invicti utilise Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Données lumineuses
    Web scraping, proxy résidentiel, proxy manager, web unlocker, moteur de recherche et tout ce dont vous avez besoin pour collecter des données Web.
    Essayez Brightdata
  • Semrush
    Semrush est une solution de marketing numérique tout-en-un avec plus de 50 outils de référencement, de médias sociaux et de marketing de contenu.
    Essayez Semrush
  • Intruder
    Intruder est un scanner de vulnérabilités en ligne qui détecte les failles de cybersécurité de votre infrastructure, afin d'éviter des violations de données coûteuses.
    Essayez Intruder