Tìm hiểu xem kho GitHub của bạn có chứa thông tin nhạy cảm như mật khẩu, khóa bí mật, thông tin bí mật, v.v.
GitHub được hàng triệu người dùng sử dụng để lưu trữ và chia sẻ mã. Thật tuyệt vời, nhưng đôi khi bạn/nhà phát triển/chủ sở hữu mã có thể vô tình chuyển thông tin nhạy cảm vào kho lưu trữ công cộng, điều này có thể là một thảm họa.
Có nhiều trường hợp dữ liệu bí mật bị rò rỉ trên GitHub. Không thể loại bỏ lỗi của con người nhưng có thể thực hiện các bước để giảm thiểu lỗi đó.
Làm cách nào để đảm bảo kho lưu trữ của bạn không chứa mật khẩu hoặc khóa?
Câu trả lời đơn giản – đừng lưu trữ nó.
Cách tốt nhất là bạn nên sử dụng phần mềm quản lý bí mật để lưu trữ tất cả thông tin bí mật.
Nhưng trên thực tế, bạn không thể kiểm soát hành vi của người khác nếu làm việc theo nhóm.
BTW, nếu bạn sử dụng Git để khởi tạo và triển khai ứng dụng của mình, nó sẽ tạo một thư mục .git và nếu được truy cập qua internet, nó có thể tiết lộ xác nhận nhạy cảm – điều mà bạn không muốn và nên cân nhắc việc chặn URI .git.
Các giải pháp sau đây sẽ giúp bạn tìm ra lỗi trong kho lưu trữ.
Quét bí mật
Tính năng Secret Scan của GitHub là một công cụ mạnh mẽ giúp phát hiện các bí mật ngẫu nhiên ẩn trong mã của bạn, bảo vệ bạn khỏi rò rỉ và lộ dữ liệu. Nó hoạt động liền mạch với cả kho lưu trữ công cộng và riêng tư, tỉ mỉ tìm kiếm mọi ngóc ngách để khám phá bất kỳ bí mật khó nắm bắt nào.
Nhưng khả năng của nó vẫn tiếp tục. Khi phát hiện ra bí mật, GitHub thực hiện hành động chủ động bằng cách cảnh báo các nhà cung cấp dịch vụ có liên quan, khuyến khích họ nhanh chóng giảm thiểu mọi rủi ro tiềm ẩn. Về kho lưu trữ riêng tư, GitHub cố gắng hết sức để thông báo cho chủ sở hữu hoặc quản trị viên của tổ chức, đảm bảo rằng những người thích hợp trong nhóm của bạn sẽ được thông báo ngay lập tức về tình huống này.
Để đảm bảo khả năng hiển thị liên tục, các cảnh báo được hiển thị nổi bật trong kho lưu trữ, đóng vai trò là tín hiệu rõ ràng để bạn và nhóm của bạn thực hiện hành động ngay lập tức. Tính năng quét bí mật của GitHub hoạt động như một đồng minh cảnh giác, làm việc chăm chỉ để đảm bảo rằng không có bí mật nào bị phát hiện và các dự án của bạn luôn được an toàn.
Khai thác sức mạnh của tính năng quét và mã bí mật khi biết thông tin nhạy cảm của bạn được bảo vệ.
Bí mật Git
Hãy để tôi giới thiệu cho bạn về git-secrets, một công cụ có thể giúp chúng ta tránh khỏi sự xấu hổ khi vô tình thêm các bí mật vào kho Git của mình. Nó quét các cam kết, cam kết tin nhắn và hợp nhất để ngăn chặn rò rỉ bí mật mã của chúng tôi.
Để bắt đầu làm việc trên hệ thống Windows, chỉ cần chạy tập lệnh PowerShell install.ps1. Nó sao chép các tệp cần thiết vào thư mục cài đặt và thêm chúng vào PATH của người dùng. Điều này làm cho bí mật git có thể dễ dàng truy cập từ mọi nơi trong môi trường phát triển của chúng tôi.
Sau khi được cài đặt, git-secret sẽ trở thành người gác cổng cảnh giác của chúng tôi để xem liệu có bất kỳ lịch sử cam kết, thông báo cam kết hoặc hợp nhất nào khớp với các mẫu bị cấm đã định cấu hình của chúng tôi hay không. Nếu phát hiện sự trùng khớp, nó sẽ từ chối cam kết, ngăn thông tin nhạy cảm rò rỉ qua các khe.
Chúng ta có thể thêm các mẫu biểu thức chính quy vào tệp .gitallowed trong thư mục gốc của kho lưu trữ để điều chỉnh bí mật git. Điều này giúp lọc ra bất kỳ dòng nào có thể kích hoạt cảnh báo nhưng hợp pháp, tạo ra sự cân bằng phù hợp giữa bảo mật và sự tiện lợi.
Khi quét một tệp, git-secret sẽ trích xuất tất cả các dòng khớp với các mẫu bị cấm và cung cấp thông tin chi tiết bao gồm đường dẫn tệp, số dòng và dòng khớp. Nó cũng kiểm tra xem các dòng khớp có khớp với các mẫu được phép đã đăng ký của chúng tôi hay không. Một cam kết hoặc hợp nhất được coi là an toàn nếu các mẫu được phép hủy bỏ tất cả các dòng được gắn cờ. Tuy nhiên, git-secrets sẽ chặn quá trình nếu bất kỳ dòng nào trùng khớp không khớp với mẫu được phép.
Chúng ta phải cẩn thận khi sử dụng git-secret. Các thiết kế bị cấm không nên quá rộng và các thiết kế được phép không nên quá phóng khoáng. Kiểm tra các mẫu của chúng tôi bằng các lệnh gọi đặc biệt tới bí mật git – quét $filename để đảm bảo chúng hoạt động như dự định.
Nếu bạn muốn tìm hiểu sâu hơn về git hoặc đóng góp vào sự phát triển của nó, bạn có thể tìm thấy dự án trên GitHub. Đây là một dự án nguồn mở khuyến khích sự đóng góp của cộng đồng. Tham gia cộng đồng và tạo nên sự khác biệt!
Với git-secret, chúng ta có thể tự tin viết mã khi biết rằng các bí mật ngẫu nhiên sẽ không gây nguy hiểm cho dự án của chúng ta. Hãy sử dụng công cụ này và bảo vệ thông tin bí mật của chúng tôi.
Thanh tra repo
Tôi có một tin thú vị: Repo-supervisor là một công cụ mạnh mẽ giúp phát hiện các bí mật và mật khẩu trong mã của bạn. Quá trình cài đặt thật dễ dàng – chỉ cần thêm webhook vào kho lưu trữ GitHub của bạn. Repo-supervisor cung cấp hai chế độ: quét các yêu cầu kéo trên GitHub hoặc quét các thư mục cục bộ từ dòng lệnh. Chọn chế độ phù hợp với bạn nhất.
Để bắt đầu với git-secret, chỉ cần truy cập kho GitHub và tải xuống phiên bản mới nhất. Ở đó, bạn sẽ tìm thấy các gói được điều chỉnh để phù hợp với việc triển khai AWS Lambda và chế độ CLI thân thiện với người dùng. Ở chế độ CLI, bạn có thể bắt đầu làm việc ngay mà không cần cấu hình bổ sung, trong khi chế độ yêu cầu kéo yêu cầu triển khai trong AWS Lambda. Chọn tùy chọn phù hợp với nhu cầu của bạn và bắt đầu sử dụng sức mạnh của git-secret để làm cho cơ sở mã của bạn an toàn hơn!
Trong chế độ CLI, cung cấp một thư mục làm đối số và Trình giám sát Repo sẽ quét các loại tệp được hỗ trợ, xử lý từng tệp bằng mã thông báo dành riêng cho loại tệp đó. Nó thực hiện kiểm tra bảo mật trên các chuỗi được trích xuất và cung cấp các báo cáo rõ ràng ở định dạng văn bản thuần túy hoặc JSON.
Trong chế độ yêu cầu kéo, người giám sát Repo xử lý tải trọng webhook, trích xuất các tệp đã sửa đổi và thực hiện kiểm tra bảo mật trên các chuỗi được trích xuất. Nếu tìm thấy vấn đề, nó sẽ đặt trạng thái CI thành lỗi bằng cách liên kết đến báo cáo. Không có vấn đề gì nghĩa là trạng thái CI thành công.
Người giám sát kho lưu trữ là một trình kiểm tra mã tuyệt vời giúp bảo vệ bí mật và mật khẩu của chúng tôi. Nó đảm bảo tính toàn vẹn của cơ sở mã của chúng tôi, điều này rất quan trọng trong cuộc sống làm việc của chúng tôi.
Hãy thử Repo-giám sát! Cài đặt nó, thiết lập webhook và để nó quét các bí mật và mật khẩu. Tận hưởng thêm một lớp bảo mật!
Truffle Hog
Hãy để tôi giới thiệu cho bạn một công cụ tuyệt vời có tên Truffle Hog. Hãy coi nó như người bạn đồng hành mã trung thành của bạn, siêng năng tìm kiếm bất kỳ dấu vết thông tin nhạy cảm nào ẩn trong kho lưu trữ của bạn. Truffle Hog là bậc thầy trong việc đào sâu vào lịch sử dự án của bạn, quét tỉ mỉ để tìm những rò rỉ tiềm ẩn về những bí mật có giá trị như khóa API và mật khẩu.
Với một kho kiểm tra entropy cao và các mẫu biểu thức chính quy, công cụ này được trang bị để khám phá những viên ngọc ẩn này và giữ an toàn cho mã của bạn. Nói lời tạm biệt với những rò rỉ bí mật và tận dụng sự bảo vệ thận trọng của Tuffle Hog!
Và đây là phần hay nhất: phiên bản mới nhất của Truffle Hog có rất nhiều tính năng mới, nâng cao. Họ hiện cung cấp hơn 700 trình phát hiện thông tin xác thực tích cực xác thực các API tương ứng của họ. Nó cũng hỗ trợ quét GitHub, GitLab, File Systems, S3, GCS và Circle CI, khiến nó trở nên cực kỳ linh hoạt.
Hơn nữa, TruffleHog hiện có hỗ trợ riêng để xác minh khóa riêng tư ngay lập tức đối với hàng triệu người dùng GitHub và hàng tỷ chứng chỉ TLS bằng công nghệ Driftwood tiên tiến nhất. Nó thậm chí có thể quét các tệp nhị phân và các định dạng tệp khác, đảm bảo không có khối đá nào bị ảnh hưởng.
Hơn nữa, TruffleHog có sẵn dưới dạng cả hành động GitHub và hook pre-commit, tích hợp liền mạch vào quy trình phát triển của bạn. Nó được thiết kế để thuận tiện và thân thiện với người dùng, cung cấp thêm một lớp bảo mật mà không gây ra những rắc rối không cần thiết.
Với Truffle Hog trong bộ công cụ, bạn có thể tự tin bảo vệ mã của mình khỏi bị lộ do vô tình và giấu bí mật của mình. Vì vậy, hãy thử Truffle Hog và để nó phát huy tác dụng kỳ diệu trong việc bảo vệ thiết kế của bạn.
Chó săn Git
GitHound vượt xa giới hạn của các công cụ khác với tính năng tìm kiếm mã GitHub, khớp mẫu và tìm kiếm lịch sử cam kết. Nó có thể tìm kiếm trên toàn bộ GitHub, không chỉ các kho lưu trữ, người dùng hoặc tổ chức cụ thể. Điều đó tuyệt vời thế nào?
Bây giờ hãy chuyển sang các tính năng tuyệt vời của nó. Git Hound sử dụng tìm kiếm mã GitHub/Gist, cho phép nó phát hiện thông tin nhạy cảm nằm rải rác trên khu vực GitHub rộng lớn, do bất kỳ ai tải lên. Nó giống như có một bản đồ kho báu để khám phá những khoảng trống tiềm ẩn.
Nhưng GitHound không dừng lại ở đó. Phát hiện dữ liệu nhạy cảm bằng cách sử dụng khớp mẫu, thông tin theo ngữ cảnh và entropy chuỗi. Nó thậm chí còn đào sâu vào lịch sử của các cam kết để tìm ra những bí mật bị loại bỏ một cách không thích hợp, đảm bảo rằng không có hòn đá nào bị bỏ sót.
Để đơn giản hóa cuộc sống của bạn, GitHound bao gồm một hệ thống tính điểm giúp lọc ra các kết quả sai thông thường và tối ưu hóa các tìm kiếm để khai thác kho lưu trữ nặng. Nó được thiết kế để giúp bạn tiết kiệm thời gian và công sức.
Và đoán xem? Git Hound đi kèm với khả năng phát hiện và giải mã base64. Nó có thể tiết lộ những bí mật ẩn giấu được mã hóa trong base64, điều này mang lại cho bạn thêm lợi thế trong việc tìm kiếm thông tin bí mật.
Hơn nữa, GitHound cung cấp các tùy chọn tích hợp với các hệ thống lớn hơn. Bạn có thể tạo đầu ra JSON và tùy chỉnh các biểu thức chính quy theo nhu cầu của mình. Đó là về tính linh hoạt và cho phép bạn phát triển dựa trên nó.
Bây giờ hãy nói về các trường hợp sử dụng thú vị của nó. Trong thế giới doanh nghiệp, GitHound trở nên vô giá trong việc tìm kiếm các khóa API máy khách bị lộ. Giúp bảo vệ thông tin mật với mức độ bảo mật cao nhất.
Đối với những người săn lỗi, Git Hound là một cuộc cách mạng. Nó cho phép bạn tìm kiếm mã thông báo API nhân viên bị rò rỉ, giúp bạn khám phá các lỗ hổng bảo mật và kiếm được phần thưởng xứng đáng. Git Hound không tuyệt vời sao?
Gileaks
Gileaks được thiết kế để giúp cuộc sống của bạn dễ dàng hơn. Đó là một giải pháp tất cả trong một, dễ sử dụng, giúp khám phá các bí mật, cho dù chúng bị chôn vùi trong quá khứ hay hiện tại trong mã của bạn. Tạm biệt nguy cơ lộ mật khẩu, khóa API hoặc mã thông báo trong dự án của bạn.
Cài đặt Gitleaks thật dễ dàng. Bạn có thể sử dụng Homebrew, Docker hoặc Go, tùy theo sở thích của bạn. Ngoài ra, nó còn cung cấp các tùy chọn triển khai linh hoạt. Bạn có thể đặt nó làm pre-commit hook trực tiếp trong kho lưu trữ của mình hoặc sử dụng Gitleaks-Action để tích hợp liền mạch nó với quy trình làm việc của GitHub. Tất cả chỉ là tìm kiếm cấu hình phù hợp với bạn nhất.
Bây giờ hãy nói về những lời giới thiệu do Gileaks cung cấp. Đầu tiên chúng ta có lệnh “phát hiện”. Lệnh mạnh mẽ này cho phép bạn quét các kho lưu trữ, thư mục và các tệp riêng lẻ. Cho dù bạn đang làm việc trên máy của riêng mình hay trong môi trường CI, Gitleaks đều có thể hỗ trợ bạn. Nó đảm bảo rằng không có bí mật nào có thể lọt qua kẽ hở.
Nhưng nó không phải là tất cả. Gileaks cũng cung cấp lệnh “bảo vệ”. Lệnh này quét các thay đổi không được cam kết rõ ràng đối với kho Git. Nó đóng vai trò là tuyến phòng thủ cuối cùng, ngăn chặn những bí mật vô tình bị tiết lộ. Đây là một biện pháp bảo vệ để giữ cho mã của bạn sạch sẽ và an toàn.
Tines, một cái tên đáng tin cậy trong ngành, tài trợ cho Gileaks. Nhờ sự hỗ trợ của họ, Gileaks không ngừng phát triển và cải tiến, mang đến khả năng phát hiện thông tin bí mật tốt nhất.
Vì vậy, các chuyên gia trẻ của tôi, đừng để những bí mật gây nguy hiểm cho dự án của bạn. Cài đặt, định cấu hình và để nó thực hiện công việc quét và bảo vệ kho lưu trữ của bạn
Máy quét bảo mật Repo
Repo Security Scanner là một công cụ dòng lệnh vô giá được thiết kế để giúp xác định dữ liệu nhạy cảm được tải lên vô tình như mật khẩu, mã thông báo, khóa riêng tư và các bí mật khác trong kho lưu trữ Git.
Công cụ mạnh mẽ này cho phép bạn chủ động phát hiện và loại bỏ các lỗ hổng tiềm ẩn do việc vô tình đưa thông tin nhạy cảm vào cơ sở mã của bạn. Bằng cách sử dụng trình quét bảo mật repo, bạn có thể đảm bảo tính toàn vẹn của kho lưu trữ của mình và bảo vệ dữ liệu nhạy cảm khỏi bị truy cập trái phép.
Repo Security Scanner dễ dàng đi sâu vào lịch sử toàn bộ kho lưu trữ của bạn, nhanh chóng cung cấp cho bạn kết quả quét toàn diện. Bằng cách thực hiện quét kỹ lưỡng, nó cho phép bạn chủ động xác định và nhanh chóng loại bỏ các lỗ hổng tiềm ẩn có thể xảy ra do các bí mật bị tiết lộ trong phần mềm nguồn mở.
Người bảo vệ Git
GitGuardian là một công cụ cho phép các nhà phát triển, nhóm bảo mật và tuân thủ giám sát hoạt động GitHub trong thời gian thực và xác định các lỗ hổng bảo mật do các bí mật bị lộ như mã thông báo API, chứng chỉ bảo mật, thông tin xác thực cơ sở dữ liệu, v.v.
GitGuardian cho phép các nhóm thực thi các chính sách bảo mật bằng mã riêng tư và mã công khai cũng như các nguồn dữ liệu khác.
Các tính năng chính của GitGuardian là;
- Công cụ giúp bạn tìm kiếm những thông tin nhạy cảm như bí mật trong mã nguồn riêng tư,
- Xác định và khắc phục rò rỉ dữ liệu nhạy cảm trên GitHub công khai.
- Nó là một công cụ hiệu quả, minh bạch và dễ cấu hình để phát hiện thông tin bí mật.
- Phạm vi tiếp cận rộng hơn và cơ sở dữ liệu rộng lớn bao gồm hầu hết tất cả thông tin bí mật bị xâm phạm.
- Các kỹ thuật khớp mẫu tinh vi giúp cải thiện khả năng khám phá và hiệu quả.
Ứng dụng
Tôi hy vọng điều này mang lại cho bạn ý tưởng tìm kiếm dữ liệu nhạy cảm trong kho lưu trữ GitHub. Nếu bạn đang sử dụng AWS, hãy tham khảo bài viết này để quét bảo mật và cấu hình sai của AWS. Hãy theo dõi để biết thêm các công cụ thú vị nhằm cải thiện cuộc sống làm việc của bạn. Chúc bạn viết mã vui vẻ và giữ bí mật những bí mật này! 🔒
