Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."	+/–
Сообщение от opennews (?), 22-Июл-18, 10:24
Подготовлен (https://github.com/zricethezav/gitleaks/releases/tag/v1.0.0) первый выпуск утилиты Gitleaks (https://github.com/zricethezav/gitleaks/), предназначенной для анализа присутствия конфиденциальных данных в заданном Git-реопзитории. Например, не редкость, когда в репозиторий в результате недосмотра или ошибки настройки попадают файлы конфигурации с паролями к СУБД или секретные ключи для доступа или создания цифровых подписей. Подобные утечки часто остаются незамеченными разработчиками, чем пользуются злоумышленники (например, часто в репозиториях забывают ключи доступа к облачным сервисам или СУБД, что используется атакующими для получения контроля за сайтами). Gitleaks позволяет провести анализ локального или внешнего git-репозитория на наличие данных, напоминающих ключи SSH и RSA или идентификаторы доступа к Amazon AWS и Facebook. Код проекта написан на языке Go и распространяется под лицензией GPLv3. URL: https://www.reddit.com/r/netsec/comments/90rsnt/gitleaks_v10.../ Новость: https://www.opennet.me/opennews/art.shtml?num=49004
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."	–2 +/–
Сообщение от Старый одмин (?), 22-Июл-18, 10:24
Автоматизация работает на того, кто начал раньше. Эта штука выполняет проверки по всей истории коммитов? Мало удалить файл и закоммитить изменения, нужно перезаписывать историю репозитория (git filter).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."	+1 +/–
	Сообщение от пох (?), 22-Июл-18, 15:01
	раньше начали вручную шерстить "интересные" репо на гитхабе. а сейчас стало скушно - решили автоматизировать. Мы же понимаем что когда пишут "аудит", подразумевают "поиск инфы и уязвимостей для мамкиных какеров - в автоматическом режиме и знать им ничего о технологии не надо"? > Эта штука выполняет проверки по всей истории коммитов? а надо? Вот ты вот найдешь, если заранее не будешь знать где, сто лет назад удаленный файл? Особенно если он не сопровождается комменарием "мы тут удалили пароли и ключи, которые и по сей день подойдут к нашей системе". (и да, какой идиот, удалив файл с паролями, первым делом их не меняет?)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	11. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."	+4 +/–
	Сообщение от Гентушник (ok), 23-Июл-18, 01:33
	> нужно перезаписывать историю Если пароли/ключи утекли в паблик, то нужно не стыдливо прятать свой факап, а менять эти пароли/ключи на новые.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."	+2 +/–
Сообщение от angra (ok), 22-Июл-18, 10:28
Комбинация grep с git-rev-list и git-show это слишком скучно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."	+3 +/–
	Сообщение от Аноним (3), 22-Июл-18, 10:32
	Ага, лучше все файлы проверить вручную!
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."	+/–
	Сообщение от Ordu (ok), 22-Июл-18, 17:46
	Как это автоматизировать?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	7. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."	+1 +/–
	Сообщение от angra (ok), 22-Июл-18, 20:44
	Шелл скриптом на несколько строчек с ручной адаптацией. На пару страниц, если хотим сделать всё по феншую с разбором каких-нибудь параметров командной строки.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."	+2 +/–
	Сообщение от Ordu (ok), 22-Июл-18, 22:06
	> Шелл скриптом на несколько строчек с ручной адаптацией. Да, для локалхоста сойдёт, если нет других альтернатив. > На пару страниц, если хотим сделать всё по феншую с разбором каких-нибудь параметров командной строки. "Страница" -- это 25 строк? Ну-ну. Попробуй.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."	–1 +/–
	Сообщение от пох (?), 22-Июл-18, 22:45
	"так мы покупаем или продаем?" длялокалхоста сойдет - это если мы свои пароли боимся упустить. А если мы чужие на гитхабе потырить пришли - то они могут быть где угодно и в какой угодно форме, нужно либо разбираться в чужом проекте (окупится, если там лежит что-то действительно ценное), либо таки автоматика. Пацаны вот решили, что все, что можно было стырить в ручную, украдено уже до них, пора писать автолопату.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	13. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."	+1 +/–
	Сообщение от Ordu (ok), 23-Июл-18, 04:51
	То что можно украсть автолопатой, я подозреваю, тоже давно украдено. Сколько лет прошло с того момента как весь интернет узнал о случае, когда пароли были опубликованы на github'е? Я спорить готов, что в течение недели после публикации той новости было сделано не менее десяти таких автолопат. И, отмечу, это весьма пессимистичные оценки, в том смысле что они заведомо занижены, дабы даже вмешательство кого-то всеведующего, кто реально может подсчитать количество автолопат и дату их изготовления, не смогло бы опровергнуть мои слова. Возможно, что такие автолопаты существовали ещё до того, как была опубликована первая новость. Но тут сложнее оценить вероятность подобного, и уж тем более сложно дать оценку дате первого появления такой автолопаты. Утилиты которые перерывают много файлов в поисках чего интересного совершенно определённо существовали 15 лет назад -- я видел их тогда. Но они были задуманы как "полезная" нагрузка для всяких там троянов, чтобы отсканировать C:, и выудить оттуда все пароли, в каком бы формате они не лежали бы там. Всё что было надо -- это адаптировать эти утилиты для поиска по github'у.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	14. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."	+1 +/–
	Сообщение от нах (?), 23-Июл-18, 11:50
	> Возможно, что такие автолопаты существовали ещё до того, как была опубликована первая новость. да, но те были жядные и не поделились. А эти поделились - наверное, рассчитывают, что им помогут ее улучшить, и они получат с этого свой профит. Наивные...
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	10. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."	+/–
	Сообщение от Аноним (10), 22-Июл-18, 23:23
	А зачем?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	12. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."	–1 +/–
	Сообщение от Аноним (12), 23-Июл-18, 02:32
	Не надо ничего комбинировать. Есть git log -p
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	15. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."	+/–
	Сообщение от нах (?), 23-Июл-18, 11:53
	> Не надо ничего комбинировать. Есть git log -p а в нем прямо вот написано "йа выложил файл с паролями, радуйтесь!" ?
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема