كيفية مسح مستودع جيثب لوثائق التفويض؟

اكتشف ما إذا كان مستودع GitHub الخاص بك يحتوي على معلومات حساسة مثل كلمة المرور والمفتاح السري والسري وما إلى ذلك.


جيثب يستخدمه ملايين المستخدمين لاستضافة الرموز ومشاركتها. إنه لأمر رائع ، ولكن في بعض الأحيان يمكن لك / لمطوري البرامج / مالكي الرموز التخلص من المعلومات السرية عن طريق الخطأ في مستودع عام ، مما قد يكون كارثة.

هناك العديد من الحوادث التي تم فيها تسريب بيانات سرية على GitHub. لا يمكنك إزالة الخطأ البشري ولكن يمكنك اتخاذ إجراء لتقليل ذلك.

كيف تتأكد من أن مستودعك لا يحتوي على كلمة مرور أو مفتاح?

إجابة بسيطة – لا تخزن.

ولكن في الواقع ، لا يمكنك التحكم في سلوك الآخرين إذا كنت تعمل في فريق.

بفضل الحل التالي ، الذي يساعدك على العثور على الأخطاء في مستودعك.

جيتيلكس

أداة مجانية تعتمد على الثعبان للعثور على كلمات مثل مستخدم أو كلمة مرور أو بريد إلكتروني في سلسلة أو تهيئة أو تنسيقات JSON.

جيتيلكس يمكن تثبيته باستخدام النقطة ولديه خيار للعثور على البيانات المشبوهة.

مسح الأسرار

جيثب لديه أسرار ميزة المسح يقوم بمسح المستودعات للتحقق من الأسرار التي ارتكبت عن طريق الخطأ. يساعد تحديد هذه الثغرات وإصلاحها في منع المهاجمين من العثور على الأسرار واستخدامها بطريقة احتيالية للوصول إلى الخدمات التي تتمتع بامتيازات الحساب المخترق.

وتشمل أبرز الملامح ؛

  • يساعد GitHub في مسح واكتشاف الأسرار المخفية عن طريق الخطأ ، مما يتيح لك منع تسرب البيانات والمخالفات.
  • يمكنه مسح المستودعات العامة والخاصة على حد سواء أثناء تنبيه مقدمي الخدمات الذين أصدروا الأسرار المكتشفة للتخفيف
  • بالنسبة للمستودعات الخاصة ، ينبه GitHub مالكي المؤسسة أو مسؤوليها ويعرض أيضًا تحذيرًا في المستودع.

أسرار Git

تم إصداره بواسطة مختبرات AWS ، كما يمكنك التخمين بالاسم – إنه يبحث عن الأسرار. أسرار Git سيكون مفيدًا في منع تنفيذ مفاتيح AWS عن طريق إضافة نمط.

يتيح لك البحث عن ملف أو مجلد بشكل متكرر. إذا كنت تشك في أن مستودع مشروعك قد يحتوي على مفتاح AWS ، فسيكون هذا مكانًا ممتازًا للبدء.

مشرف الريبو

مشرف الريبو يتيح لك Auth0 العثور على التكوين الخاطئ وكلمة المرور وما إلى ذلك.

إنها أداة بدون خادم يمكن تثبيتها داخل حاوية Docker أو أي خادم يستخدم NPM.

خنزير الكمأ

أحد الأدوات الشائعة للعثور على الأسرار في كل مكان ، بما في ذلك الفروع ، يرتكب التاريخ.

خنزير الكمأ البحث باستخدام regex و entropy ، وستتم طباعة النتيجة على الشاشة.

يمكنك التثبيت باستخدام النقطة

تثبيت نقطة truffleHog

Git Hound

البرنامج المساعد git يعتمد على GO, Git Hound, يساعد على منع ارتكاب البيانات الحساسة في مستودع ضد PCRE (التعبيرات العادية المتوافقة مع Perl).

إنه متوفر في إصدار ثنائي لنظام التشغيل Windows و Linux و Darwin وما إلى ذلك. مفيد إذا لم يكن لديك GO مثبتًا.

جتروب

جتروب يجعل من السهل عليك تحليل النتائج على واجهة الويب. إنه مبني على Go ، لذا فهذا شرط أساسي.

برج المراقبة

ماسح ضوئي يعمل بالذكاء الاصطناعي لاكتشاف مفاتيح واجهة برمجة التطبيقات والأسرار والمعلومات الحساسة. برج المراقبة الرادار API يتيح لك التكامل مع مستودع GitHub العام أو الخاص ، AWS ، GitLab ، Twilio ، إلخ. تتوفر نتائج المسح على واجهة ويب أو مخرجات CLI.

الماسح الضوئي الريبو الأمن

الماسح الضوئي الريبو الأمن هي أداة سطر أوامر تساعدك على اكتشاف كلمات المرور والرموز المميزة والمفاتيح الخاصة والأسرار الأخرى التي يتم التلاعب بها عن طريق الخطأ في git repo عند دفع البيانات الحساسة.

هذه أداة سهلة الاستخدام تحقق في سجل الريبو بأكمله وتوفر نتائج الفحص في غضون وقت قصير. يمكّنك الفحص من تحديد ومعالجة الثغرات الأمنية المحتملة التي تعرضها الأسرار المكشوفة في برنامج مفتوح المصدر.

GitGuardian

GitGuardian هي أداة تمكّن المطورين وفرق الأمان والامتثال من مراقبة نشاط GitHub في الوقت الفعلي وتحديد نقاط الضعف بسبب الأسرار المكشوفة مثل الرموز المميزة لواجهة برمجة التطبيقات وشهادات الأمان وبيانات اعتماد قاعدة البيانات وما إلى ذلك..

تتيح أداة المسح للفرق فرض سياسات الأمان في الشفرة الخاصة والعامة وكذلك في مصادر البيانات الأخرى.

الميزات الرئيسية لـ GitGuardian هي ؛

  • تساعد الأداة في العثور على معلومات حساسة مثل الأسرار في شفرة المصدر الخاصة,
  • تحديد وإصلاح تسربات البيانات الحساسة على GitHub العام,
  • إنها أداة فعالة وشفافة وسهلة لإعداد أداة كشف الأسرار
  • تغطية أوسع وقاعدة بيانات شاملة لتغطية أي معلومات حساسة في خطر تقريبًا
  • تقنيات مطابقة الأنماط المتطورة التي تعمل على تحسين عملية الاكتشاف وفعاليتها.

استنتاج

آمل أن يمنحك هذا فكرة عن العثور على بيانات حساسة في مستودع GitHub. إذا كنت تبحث عن إدارة سرية, ثم تحقق من هذه المقالة عن الحلول الممكنة.

العلامات:

  • المصدر المفتوح

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map