srcmini本文概述
找出你的GitHub存储库中是否包含敏感信息, 例如密码, 秘密密钥, 机密信息等。
数以百万计的用户使用GitHub托管和共享代码。太棒了, 但是有时你/开发人员/代码所有者可能会不慎将机密信息转储到公共存储库中, 这可能是一场灾难。
在许多事件中, 机密数据在GitHub上泄漏。你无法消除人为错误, 但可以采取措施减少错误。
如何确保你的存储库不包含密码或密钥?
简单的答案-不存储。
但实际上, 如果你在团队中工作, 你将无法控制他人的行为。
由于以下解决方案可帮助你在存储库中发现错误。
Gittyleaks
一个基于python的免费实用程序, 用于查找用户, 密码, 字符串, 配置或JSON格式的电子邮件之类的词。
可以使用pip安装Gittyleaks, 并且可以选择查找可疑数据。
Git Secrets
你可以通过名称猜出它是由AWS Labs发布的-它扫描秘密。 Git Secrets将有助于通过添加模式来防止提交AWS密钥。
它使你可以递归扫描文件或文件夹。如果你怀疑你的项目存储库可能包含AWS密钥, 那么这将是一个很好的起点。
Repo Supervisor
Auth0的Repo Supervisor可让你查找配置错误, 密码等。
这是一种无服务器工具, 可以安装在Docker容器中或使用NPM的任何服务器中。
truffleHog
一种流行的实用程序, 可以在各处找到秘密, 包括分支机构, 提交历史记录。
使用正则表达式和熵搜索truffleHog, 结果显示在屏幕上。
你可以使用pip进行安装
pip install truffleHogGit Hound
一个基于GO的git插件Git Hound, 有助于防止敏感数据针对PCRE(与Perl兼容的正则表达式)在存储库中提交。
适用于Windows, Linux, Darwin等的二进制版本。如果你未安装GO, 则非常有用。
除了上述工具外, 你还可以尝试Surch和Gitrob。
如果你的项目由于开放源代码而要求在存储库中具有凭据, 那么你可以考虑使用密码库来管理机密。
有一些可用的选项。
HashiCorp Vault –用于存储, 租赁, 审核, 吊销令牌, 密码, 证书, API密钥, AWS凭证等的秘密存储。
它是开源的, 因此是免费的, 可以从源代码或二进制文件安装。
BlackBox –它可与Git, Subversion, Mercurial和Perforce一起使用。数据使用GPG(GNU Privacy Guard)加密。它支持以下内容。
- 的Linux
- macOS X
- 最小GW
- 西格温
它是免费的, 因此请尝试一下它的运行情况。
Gitrob
Gitrob使你可以轻松地在Web界面上分析发现。它基于Go, 因此这是先决条件。
Watchtower
由AI驱动的扫描仪, 可检测API密钥, 机密和敏感信息。使用Watchtower Radar API, 你可以与GitHub公共或私有存储库, AWS, GitLab, twillo等集成。扫描结果可在Web界面或CLI输出中获得。
总结
我希望这能给你一个在GitHub存储库中查找敏感数据的想法, 并了解如果需要将其存储在Git中的加密工具。如果你是初学者或对学习GitHub感兴趣, 那么可以参考此终极课程。
评论前必须登录!
注册