本文概述
- Gittyleaks
- Git Secrets
- Repo Supervisor
- truffleHog
- Git Hound
- Gitrob
- Watchtower
数以百万计的用户使用GitHub托管和共享代码。太棒了, 但是有时你/开发人员/代码所有者可能会不慎将机密信息转储到公共存储库中, 这可能是一场灾难。
在许多事件中, 机密数据在GitHub上泄漏。你无法消除人为错误, 但可以采取措施减少错误。
如何确保你的存储库不包含密码或密钥?
简单的答案-不存储。
但实际上, 如果你在团队中工作, 你将无法控制他人的行为。
由于以下解决方案可帮助你在存储库中发现错误。
Gittyleaks 一个基于python的免费实用程序, 用于查找用户, 密码, 字符串, 配置或JSON格式的电子邮件之类的词。
![如何扫描GitHub存储库中的凭据()](http://www.srcmini.com/wp-content/uploads/2020/04/gittyleaks.png)
文章图片
可以使用pip安装Gittyleaks, 并且可以选择查找可疑数据。
Git Secrets 你可以通过名称猜出它是由AWS Labs发布的-它扫描秘密。 Git Secrets将有助于通过添加模式来防止提交AWS密钥。
它使你可以递归扫描文件或文件夹。如果你怀疑你的项目存储库可能包含AWS密钥, 那么这将是一个很好的起点。
Repo Supervisor Auth0的Repo Supervisor可让你查找配置错误, 密码等。
![如何扫描GitHub存储库中的凭据()](http://www.srcmini.com/wp-content/uploads/2020/04/repo-supervisor.png)
文章图片
这是一种无服务器工具, 可以安装在Docker容器中或使用NPM的任何服务器中。
truffleHog 一种流行的实用程序, 可以在各处找到秘密, 包括分支机构, 提交历史记录。
使用正则表达式和熵搜索truffleHog, 结果显示在屏幕上。
![如何扫描GitHub存储库中的凭据()](http://www.srcmini.com/wp-content/uploads/2020/04/truffle-hog.png)
文章图片
你可以使用pip进行安装
pip install truffleHog
Git Hound 一个基于GO的git插件Git Hound, 有助于防止敏感数据针对PCRE(与Perl兼容的正则表达式)在存储库中提交。
适用于Windows, Linux, Darwin等的二进制版本。如果你未安装GO, 则非常有用。
除了上述工具外, 你还可以尝试Surch和Gitrob。
如果你的项目由于开放源代码而要求在存储库中具有凭据, 那么你可以考虑使用密码库来管理机密。
有一些可用的选项。
HashiCorp Vault –用于存储, 租赁, 审核, 吊销令牌, 密码, 证书, API密钥, AWS凭证等的秘密存储。
![如何扫描GitHub存储库中的凭据()](http://www.srcmini.com/wp-content/uploads/2020/04/hashicorp-vault.png)
文章图片
它是开源的, 因此是免费的, 可以从源代码或二进制文件安装。
BlackBox –它可与Git, Subversion, Mercurial和Perforce一起使用。数据使用GPG(GNU Privacy Guard)加密。它支持以下内容。
- 的Linux
- macOS X
- 最小GW
- 西格温
Gitrob Gitrob使你可以轻松地在Web界面上分析发现。它基于Go, 因此这是先决条件。
Watchtower 由AI驱动的扫描仪, 可检测API密钥, 机密和敏感信息。使用Watchtower Radar API, 你可以与GitHub公共或私有存储库, AWS, GitLab, twillo等集成。扫描结果可在Web界面或CLI输出中获得。
![如何扫描GitHub存储库中的凭据()](http://www.srcmini.com/wp-content/uploads/2020/04/watchtower-ai.png)
文章图片
总结
【如何扫描GitHub存储库中的凭据()】我希望这能给你一个在GitHub存储库中查找敏感数据的想法, 并了解如果需要将其存储在Git中的加密工具。如果你是初学者或对学习GitHub感兴趣, 那么可以参考此终极课程。
推荐阅读
- 8种不同的Google警告消息以及它们为什么发生()
- 22个免费的IT安全专家取证调查工具
- 如何获得免费的网站SSL证书(HTTPS)()
- 7项服务可帮助你修复Joomla黑客入侵的网站
- 如何查找网站的真实IP(来源)地址()
- 如何在Android中创建服务,以便在用户与Internet连接时启动
- android(未收到ACTION_PACKAGE_ADDED(xperia SO-03D))
- Android推送通知服务无法在Lollipop上启动
- BroadcastReceiver需要android.permission.RECEIVE_BOOT_COMPLETED