كيفية مسح مستودع GitHub لبيانات الاعتماد؟

Tweet
Share
Share
Pin

اكتشف ما إذا كان مستودع GitHub الخاص بك يحتوي على معلومات حساسة مثل كلمة المرور والمفاتيح السرية والمعلومات السرية وما إلى ذلك.

يستخدم GitHub من قبل ملايين المستخدمين لاستضافة الرموز ومشاركتها. إنه أمر رائع ، ولكن في بعض الأحيان يمكنك أنت / المطورين / مالكي الشفرات تفريغ معلومات سرية عن طريق الخطأ في مستودع عام ، مما قد يكون كارثة.

هناك العديد من الحوادث التي تم فيها تسريب بيانات سرية على GitHub. لا يمكنك التخلص من الخطأ البشري ولكن يمكنك اتخاذ إجراءات لتقليل ذلك.

كيف تتأكد من أن المستودع الخاص بك لا يحتوي على كلمة مرور أو مفتاح؟

إجابة بسيطة – لا تخزن.

كأفضل ممارسة ، يجب على المرء استخدام برامج الإدارة السرية لتخزين جميع المعلومات الحساسة.

لكن في الواقع ، لا يمكنك التحكم في سلوك الآخرين إذا كنت تعمل في فريق.

راجع للشغل ، إذا كنت تستخدم Git لتهيئة تطبيقك ونشره ، فإنه ينشئ مجلد .git ، وإذا كان يمكن الوصول إليه عبر الإنترنت ، فقد يعرض تأكيدًا حساسًا – وهو ما لا تريده ويجب أن تفكر في حظر .git URI.

تساعدك الحلول التالية في العثور على الأخطاء في المستودع الخاص بك.

المسح السري

تعد ميزة الفحص السري في GitHub أداة قوية تكتشف الأسرار العرضية المخبأة في التعليمات البرمجية الخاصة بك ، مما يحمي من تسرب البيانات والتنازلات. إنه يعمل بسلاسة لكل من المستودعات العامة والخاصة ، ويمشط بدقة كل زاوية وركن لكشف أي أسرار مفلطحة.

لكن قدراتها مستمرة. بمجرد اكتشاف السر ، يتخذ GitHub تدابير استباقية عن طريق تنبيه مزودي الخدمة المعنيين ، مما يدفعهم إلى التخفيف من أي مخاطر محتملة بسرعة. فيما يتعلق بالمستودعات الخاصة ، يذهب GitHub إلى أبعد من ذلك من خلال إخطار مالكي المؤسسة أو المسؤولين ، والتأكد من أن الأفراد المناسبين داخل فريقك على دراية بالموقف على الفور.

لتوفير رؤية مستمرة ، يتم عرض التحذيرات بشكل بارز داخل المستودع ، لتكون بمثابة إشارة واضحة لك ولفريقك لاتخاذ إجراءات فورية. تعمل ميزة الفحص السري لـ GitHub كحليف يقظ لك ، وتعمل بجد لضمان عدم مرور أي سر دون أن يلاحظه أحد وأن تظل مشاريعك آمنة.

اعتنق قوة المسح السري والرمز بكل ثقة ، واعلم أن معلوماتك الحساسة محمية.

أسرار بوابة

اسمحوا لي أن أقدم لكم git-secrets ، وهي أداة يمكن أن تنقذنا من الإحراج الناتج عن إضافة أسرار بطريق الخطأ إلى مستودعات Git الخاصة بنا. يقوم بمسح الالتزامات ، والتزام الرسائل ، والدمج لمنع التسرب السري في التعليمات البرمجية الخاصة بنا.

للبدء على Windows ، نقوم ببساطة بتشغيل البرنامج النصي install.ps1 PowerShell. يقوم بنسخ الملفات الضرورية إلى دليل التثبيت وإضافتها إلى مستخدمنا PATH. هذا يجعل git-secrets يمكن الوصول إليها بسهولة من أي مكان في بيئة التطوير لدينا.

بمجرد التثبيت ، يصبح git-secrets هو الوصي الساهر لدينا ، ويتحقق مما إذا كان أي التزام أو رسالة أو سجل دمج يتطابق مع الأنماط المحظورة التي تمت تهيئتها. إذا اكتشف تطابقًا ، فإنه يرفض الالتزام ، مما يمنع المعلومات الحساسة من التسلل عبر الفجوات.

يمكننا إضافة أنماط تعبير عادي إلى ملف .gitallowed في الدليل الجذر للمستودع لضبط git-secrets. يساعد هذا في تصفية أي سطور قد تؤدي إلى تحذير ولكنها شرعية ، وتحقيق التوازن الصحيح بين الأمان والراحة.

  كيفية استخدام قيم الخلية لتسميات مخطط Excel

عند فحص ملف ، تقوم git-secrets باستخراج جميع الأسطر التي تطابق الأنماط المحظورة وتوفر معلومات مفصلة ، بما في ذلك مسارات الملفات وأرقام الأسطر والخطوط المتطابقة. يتحقق أيضًا مما إذا كانت الأسطر المتطابقة تتطابق مع أنماطنا المسجلة المسموح بها. يعتبر الالتزام أو الدمج آمنًا إذا ألغت الأنماط المسموح بها جميع الأسطر التي تم وضع علامة عليها. ومع ذلك ، فإن git-secrets تمنع العملية إذا كانت أي أسطر متطابقة لا تتطابق مع النمط المسموح به.

أثناء استخدام git-secrets ، يجب أن نكون حذرين. يجب ألا تكون الأنماط المحظورة واسعة جدًا ، ويجب ألا تكون الأنماط المسموح بها متساهلة للغاية. اختبار أنماطنا باستخدام استدعاءات مخصصة لإدخال الأسرار – مسح اسم الملف $ يضمن أنها تعمل على النحو المنشود.

إذا كنت حريصًا على التعمق في أسرار git أو ترغب في المساهمة في تطويرها ، فستجد المشروع على GitHub. إنه مشروع مفتوح المصدر يشجع مساهمات المجتمع. انضم إلى المجتمع وأحدث فرقًا!

باستخدام git-secrets ، يمكننا الترميز بثقة ، مع العلم أن الأسرار العرضية لن تعرض مشاريعنا للخطر. دعنا نتبنى هذه الأداة ونحافظ على أمان معلوماتنا الحساسة.

مشرف الريبو

لدي هذه الأخبار المثيرة: Repo-supervisor هو أداة قوية تكشف الأسرار وكلمات المرور في التعليمات البرمجية الخاصة بك. يعد تثبيته أمرًا في غاية السهولة – ما عليك سوى إضافة خطاف ويب إلى مستودع GitHub الخاص بك. يقدم مشرف Repo وضعين: مسح طلبات السحب على GitHub أو مسح الدلائل المحلية من سطر الأوامر. اختر الوضع الذي يناسبك.

للشروع في رحلة git-secrets ، ما عليك سوى زيارة مستودع GitHub وتنزيل أحدث إصدار. هناك ، ستكتشف حزمًا مصممة لنشر AWS Lambda ووضع CLI سهل الاستخدام. باستخدام وضع CLI ، يمكنك الغوص مباشرة دون أي إعداد إضافي ، بينما يتطلب وضع طلب السحب النشر في AWS Lambda. اختر الخيار الذي يناسب احتياجاتك وابدأ في تسخير قوة git-secrets لتعزيز أمان قاعدة التعليمات البرمجية الخاصة بك!

في وضع CLI ، قم بتوفير دليل كوسيطة ، ويقوم مشرف Repo بفحص أنواع الملفات المدعومة ، ومعالجة كل ملف باستخدام رمز مميز خاص بنوعه. يقوم بإجراء فحوصات أمنية على السلاسل المستخرجة ويوفر تقارير واضحة بتنسيق نص عادي أو تنسيق JSON.

بالنسبة لوضع طلب السحب ، يعالج مشرف Repo حمولات webhook ، ويستخرج الملفات المعدلة ، ويقوم بإجراء فحوصات أمنية على السلاسل المستخرجة. إذا تم العثور على مشاكل ، فإنه يقوم بتعيين حالة CI إلى خطأ ، والربط بالتقرير. لا توجد مشاكل تعني حالة CI ناجحة.

Repo-Supervisor هو مفتش كود رائع يحافظ على أمان أسرارنا وكلمات المرور الخاصة بنا. إنه يضمن سلامة قاعدة الكود لدينا ، وهو أمر بالغ الأهمية في حياتنا المهنية.

جرب Repo-Supervisor! قم بتثبيته وتهيئة webhook والسماح له بالبحث عن الأسرار وكلمات المرور. استمتع بالطبقة الإضافية من الأمان!

خنزير الكمأة

اسمحوا لي أن أقدم لكم أداة رائعة تسمى Truffle Hog. ضع في اعتبارك أنه رفيقك المخلص في الشفرة ، حيث يستنشق بجدية أي أثر للمعلومات الحساسة الكامنة في مستودعاتك. Truffle Hog هو خبير في الخوض في عمق تاريخ مشروعك ، والمسح بدقة بحثًا عن التسريبات المحتملة للأسرار القيمة مثل مفاتيح API وكلمات المرور.

مع ترسانتها من الشيكات عالية الإنتروبيا وأنماط regex ، فإن هذه الأداة مهيأة للكشف عن هذه الكنوز المخفية والتأكد من أن الشفرة الخاصة بك تظل آمنة. قل وداعًا للتسريبات السرية واحتضن الحماية اليقظة لخنزير الكمأة!

  أفضل 10 أدوات لتحويل الفيديو من FLV إلى MP3

وإليك أفضل جزء: أحدث إصدار من Truffle Hog مليء بالعديد من الميزات القوية الجديدة. يضم الآن أكثر من 700 جهاز كشف بيانات الاعتماد التي تتحقق بفعالية من واجهات برمجة التطبيقات الخاصة بها. كما أنه يدعم مسح GitHub و GitLab وأنظمة الملفات و S3 و GCS و Circle CI ، مما يجعله متعدد الاستخدامات بشكل لا يصدق.

ليس ذلك فحسب ، لدى TruffleHog الآن دعم أصلي للتحقق الفوري من المفاتيح الخاصة ضد الملايين من مستخدمي GitHub ومليارات من شهادات TLS باستخدام تقنية Driftwood المتطورة. يمكنه أيضًا مسح الثنائيات وتنسيقات الملفات الأخرى ، مما يضمن عدم ترك أي حجر دون تغيير.

علاوة على ذلك ، يتوفر TruffleHog كإجراء GitHub وخطاف للالتزام المسبق ، يندمج بسلاسة في سير عمل التطوير الخاص بك. إنه مصمم ليكون مريحًا وسهل الاستخدام ، ويوفر طبقة إضافية من الأمان دون التسبب في متاعب غير ضرورية.

مع Truffle Hog في مجموعة الأدوات الخاصة بك ، يمكنك حماية التعليمات البرمجية الخاصة بك بثقة من التعرضات العرضية والحفاظ على أسرارك في مكان مغلق. لذا جرب Truffle Hog ، ودعه يعمل بسحره في حماية مشاريعك.

بوابة الصيد

يتجاوز GitHound حدود الأدوات الأخرى من خلال الاستفادة من البحث عن كود GitHub ومطابقة الأنماط والبحث في السجل. يمكنه البحث في GitHub بالكامل ، وليس فقط مستودعات أو مستخدمين أو مؤسسات محددة. كم ذلك رائع؟

الآن ، دعنا نتعمق في ميزاته الرائعة. يستخدم Git Hound البحث عن كود GitHub / Gist ، مما يسمح له بتحديد المعلومات الحساسة المنتشرة عبر الامتداد الشاسع لـ GitHub ، والتي تم تحميلها من قبل أي شخص. يشبه امتلاك خريطة كنز للكشف عن نقاط الضعف المحتملة.

لكن GitHound لا يتوقف عند هذا الحد. يكتشف البيانات الحساسة عن طريق استخدام مطابقة الأنماط والمعلومات السياقية وانتروبيا السلسلة. حتى أنه يتعمق في تاريخ الالتزام للعثور على الأسرار المحذوفة بشكل غير صحيح ، مما يضمن عدم ترك أي حجر دون قلب.

لتبسيط حياتك ، يدمج GitHound نظام تسجيل النقاط الذي يقوم بتصفية الإيجابيات الخاطئة الشائعة ويحسن بحثها عن عمليات حفر مكثفة للمستودعات. إنه مصمم لتوفير الوقت والجهد.

وتخيل ماذا؟ تم تجهيز Git Hound بقدرات اكتشاف وفك تشفير base64. يمكن أن يكشف النقاب عن الأسرار الخفية المشفرة بتنسيق base64 ، مما يمنحك ميزة إضافية في البحث عن المعلومات الحساسة.

علاوة على ذلك ، يقدم GitHound خيارات لدمجه في أنظمة أكبر. يمكنك إنشاء إخراج JSON وتخصيص regexes وفقًا لاحتياجاتك الخاصة. يتعلق الأمر كله بالمرونة وتمكينك من البناء على أساسها.

الآن ، دعنا نتحدث عن حالات الاستخدام المثيرة. في عالم الشركات ، يصبح GitHound لا يقدر بثمن في البحث عن مفاتيح API للعملاء المكشوفة. يساعد في حماية المعلومات الحساسة ، مما يضمن أعلى مستوى من الأمان.

بالنسبة لصائدي الجوائز ، فإن Git Hound هو مغير اللعبة. يمكّنك من البحث عن الرموز المميزة لواجهة برمجة تطبيقات الموظف المسربة ، مما يساعدك على الكشف عن نقاط الضعف وكسب تلك المكافآت التي تستحقها. أليس Git Hound مدهشًا؟

جيتليكس

تم تصميم Gitleaks لجعل حياتك أسهل. إنه حل سهل الاستخدام وشامل يكتشف الأسرار ، سواء كانت مدفونة في ماضي كودك أو حاضره. قل وداعًا لخطر الكشف عن كلمات المرور أو مفاتيح واجهة برمجة التطبيقات أو الرموز المميزة في مشروعاتك.

  4 طرق لمشاهدة قناة هولمارك بدون كابل

تثبيت Gitleaks سهل للغاية. يمكنك استخدام Homebrew أو Docker أو Go ، حسب تفضيلاتك. بالإضافة إلى ذلك ، فإنه يوفر خيارات تنفيذ مرنة. يمكنك إعداده كخطاف للالتزام المسبق مباشرة في المستودع الخاص بك أو الاستفادة من Gitleaks-Action لدمجه بسلاسة في مهام سير عمل GitHub. الأمر كله يتعلق بإيجاد الإعداد الذي يناسبك بشكل أفضل.

الآن ، دعنا نتحدث عن الأوامر التي يقدمها Gitleaks. أولاً ، لدينا أمر “اكتشاف”. يمكّنك هذا الأمر القوي من فحص المستودعات والدلائل والملفات الفردية. سواء كنت تعمل على جهازك الخاص أو في بيئة CI ، فإن Gitleaks ستوفر لك ما تحتاجه. يضمن عدم تسلل أي سر عبر الشقوق.

لكن هذا ليس كل شيء. يوفر Gitleaks أيضًا أمر “الحماية”. يقوم هذا الأمر بمسح التغييرات غير الملتزم بها صراحةً في مستودعات Git الخاصة بك. إنها بمثابة خط دفاعك الأخير ، مما يمنع ارتكاب الأسرار عن غير قصد. إنها حماية تحافظ على نظافة الكود الخاص بك وأمانه.

Tines ، اسم موثوق به في الصناعة ، يرعى Gitleaks. مع دعمهم ، يستمر Gitleaks في التطور والتحسين ، مما يوفر لك أفضل إمكانات الكشف السري.

لذا ، أيها المهنيين الشباب ، لا تدع الأسرار تعرض مشاريعك للخطر. قم بتثبيته وإعداده واتركه يقوم بالعمل الشاق المتمثل في مسح مستودعاتك وحمايتها

ريبو الأمن الماسح

يعد ماسح أمان repo أداة سطر أوامر لا تقدر بثمن مصممة للمساعدة في تحديد البيانات الحساسة التي تم ارتكابها عن غير قصد ، مثل كلمات المرور والرموز والمفاتيح الخاصة والأسرار الأخرى ، داخل مستودع Git الخاص بك.

تمكّنك هذه الأداة القوية من اكتشاف ومعالجة الثغرات الأمنية المحتملة الناتجة عن التضمين غير المقصود للمعلومات السرية في قاعدة التعليمات البرمجية الخاصة بك. من خلال استخدام ماسح أمان الريبو ، يمكنك ضمان سلامة مستودعك وحماية بياناتك الحساسة من الوصول غير المصرح به.

يتعمق برنامج Repo Security Scanner بسهولة في تاريخ المستودع بأكمله ، ويقدم بسرعة نتائج مسح شاملة. من خلال إجراء عمليات مسح شاملة ، فإنه يمكّنك من التعرف بشكل استباقي ومعالجة الثغرات الأمنية المحتملة التي قد تنشأ عن الأسرار المكشوفة في البرامج مفتوحة المصدر.

جيت جارديان

GitGuardian هي أداة تمكّن المطورين وفرق الأمان والامتثال من مراقبة نشاط GitHub في الوقت الفعلي وتحديد نقاط الضعف بسبب الأسرار المكشوفة مثل الرموز المميزة لواجهة برمجة التطبيقات وشهادات الأمان وبيانات اعتماد قاعدة البيانات وما إلى ذلك.

يسمح GitGuardian للفرق بفرض سياسات الأمان في التعليمات البرمجية الخاصة والعامة ومصادر البيانات الأخرى.

ميزات GitGuardian الرئيسية هي ؛

  • تساعد الأداة في العثور على معلومات حساسة ، مثل الأسرار في شفرة المصدر الخاصة ،
  • تحديد وإصلاح تسرب البيانات الحساسة على GitHub العام.
  • إنها أداة كشف سرية فعالة وشفافة وسهلة الإعداد.
  • تغطية أوسع وقاعدة بيانات شاملة لتغطية أي معلومات حساسة معرضة للخطر تقريبًا.
  • تقنيات متطورة لمطابقة الأنماط تعمل على تحسين عملية الاكتشاف والفعالية.

خاتمة

آمل أن يمنحك هذا فكرة عن العثور على بيانات حساسة في مستودع GitHub. إذا كنت تستخدم AWS ، فراجع هذه المقالة لفحص أمان AWS والتكوين الخاطئ. ترقبوا المزيد من الأدوات المثيرة التي من شأنها تحسين حياتك المهنية. أتمنى لك ترميزًا سعيدًا ، واحتفظ بهذه الأسرار في مكان مغلق! 🔒

ما هو رد فعلك؟
0
0
0
0
0
0
0

المنشورات ذات الصلة

شرح معمارية API في 5 دقائق أو أقل

كيفية تصفية القائمة في Python بالطريقة الصحيحة للحصول على المزيد من بياناتك

نموذج نشر السحابة المناسب لك