Представлен Gitleaks 1.0, инструмент для аудита git-репозиториев

22.07.2018 07:53

Подготовлен первый выпуск утилиты Gitleaks, предназначенной для анализа присутствия конфиденциальных данных в заданном Git-репозитории. Например, нередкость, когда в репозиторий в результате недосмотра или ошибки настройки попадают файлы конфигурации с паролями к СУБД или секретные ключи для доступа или создания цифровых подписей.

Подобные утечки часто остаются незамеченными разработчиками, чем пользуются злоумышленники (например, часто в репозиториях забывают ключи доступа к облачным сервисам или СУБД, что используется атакующими для получения контроля за сайтами). Gitleaks позволяет провести анализ локального или внешнего git-репозитория на наличие данных, напоминающих ключи SSH и RSA или идентификаторы доступа к Amazon AWS и Facebook. Код проекта написан на языке Go и распространяется под лицензией GPLv3.

исправить +13 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/49004-git

Ключевые слова: git, audit

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (15)

1.1, Старый одмин (?), 10:24, 22/07/2018 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Автоматизация работает на того, кто начал раньше. Эта штука выполняет проверки по всей истории коммитов? Мало удалить файл и закоммитить изменения, нужно перезаписывать историю репозитория (git filter).

2.5, пох (?), 15:01, 22/07/2018 [^] [^^] [^^^] [ответить]

+1 +/–

раньше начали вручную шерстить "интересные" репо на гитхабе.

а сейчас стало скушно - решили автоматизировать. Мы же понимаем что когда пишут "аудит", подразумевают "поиск инфы и уязвимостей для мамкиных какеров - в автоматическом режиме и знать им ничего о технологии не надо"?

> Эта штука выполняет проверки по всей истории коммитов?

а надо? Вот ты вот найдешь, если заранее не будешь знать где, сто лет назад удаленный файл? Особенно если он не сопровождается комменарием "мы тут удалили пароли и ключи, которые и по сей день подойдут к нашей системе".

(и да, какой идиот, удалив файл с паролями, первым делом их не меняет?)

2.11, Гентушник (ok), 01:33, 23/07/2018 [^] [^^] [^^^] [ответить]	+4 +/–
> нужно перезаписывать историю Если пароли/ключи утекли в паблик, то нужно не стыдливо прятать свой факап, а менять эти пароли/ключи на новые.

1.2, angra (ok), 10:28, 22/07/2018 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Комбинация grep с git-rev-list и git-show это слишком скучно?

2.3, Аноним (3), 10:32, 22/07/2018 [^] [^^] [^^^] [ответить]	+3 +/–
Ага, лучше все файлы проверить вручную!

2.6, Ordu (ok), 17:46, 22/07/2018 [^] [^^] [^^^] [ответить]	+/–
Как это автоматизировать?

3.7, angra (ok), 20:44, 22/07/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Шелл скриптом на несколько строчек с ручной адаптацией. На пару страниц, если хотим сделать всё по феншую с разбором каких-нибудь параметров командной строки.

4.8, Ordu (ok), 22:06, 22/07/2018 [^] [^^] [^^^] [ответить]

+2 +/–

> Шелл скриптом на несколько строчек с ручной адаптацией.

Да, для локалхоста сойдёт, если нет других альтернатив.

> На пару страниц, если хотим сделать всё по феншую с разбором каких-нибудь параметров командной строки.

"Страница" -- это 25 строк?

Ну-ну. Попробуй.

5.9, пох (?), 22:45, 22/07/2018 [^] [^^] [^^^] [ответить]

–1 +/–

"так мы покупаем или продаем?"

длялокалхоста сойдет - это если мы свои пароли боимся упустить.
А если мы чужие на гитхабе потырить пришли - то они могут быть где угодно и в какой угодно форме, нужно либо разбираться в чужом проекте (окупится, если там лежит что-то действительно ценное), либо таки автоматика. Пацаны вот решили, что все, что можно было стырить в ручную, украдено уже до них, пора писать автолопату.

6.13, Ordu (ok), 04:51, 23/07/2018 [^] [^^] [^^^] [ответить]	+1 +/–
То что можно украсть автолопатой, я подозреваю, тоже давно украдено. Сколько лет прошло с того момента как весь интернет узнал о случае, когда пароли были опубликованы на github'е? Я спорить готов, что в течение недели после публикации той новости было сделано не менее десяти таких автолопат. И, отмечу, это весьма пессимистичные оценки, в том смысле что они заведомо занижены, дабы даже вмешательство кого-то всеведующего, кто реально может подсчитать количество автолопат и дату их изготовления, не смогло бы опровергнуть мои слова. Возможно, что такие автолопаты существовали ещё до того, как была опубликована первая новость. Но тут сложнее оценить вероятность подобного, и уж тем более сложно дать оценку дате первого появления такой автолопаты. Утилиты которые перерывают много файлов в поисках чего интересного совершенно определённо существовали 15 лет назад -- я видел их тогда. Но они были задуманы как "полезная" нагрузка для всяких там троянов, чтобы отсканировать C:, и выудить оттуда все пароли, в каком бы формате они не лежали бы там. Всё что было надо -- это адаптировать эти утилиты для поиска по github'у.

7.14, нах (?), 11:50, 23/07/2018 [^] [^^] [^^^] [ответить]

+1 +/–

> Возможно, что такие автолопаты существовали ещё до того, как была опубликована первая новость.

да, но те были жядные и не поделились. А эти поделились - наверное, рассчитывают, что им помогут ее улучшить, и они получат с этого свой профит. Наивные...

2.10, Аноним (10), 23:23, 22/07/2018 [^] [^^] [^^^] [ответить]	+/–
А зачем?

2.12, Аноним (12), 02:32, 23/07/2018 [^] [^^] [^^^] [ответить]	–1 +/–
Не надо ничего комбинировать. Есть git log -p

3.15, нах (?), 11:53, 23/07/2018 [^] [^^] [^^^] [ответить]	+/–
> Не надо ничего комбинировать. Есть git log -p а в нем прямо вот написано "йа выложил файл с паролями, радуйтесь!" ?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: