工具承诺比以前的迭代更少的误报
GitHub通常称赞为开发人员提供平台,分享他们开发的开放源代码和工具。
然而,一些开发人员经常在不知不觉中或无意中忽略了在发布之前从其代码中删除敏感信息,例如API令牌和用户凭据GitHub.。
这种错误可以暴露一个组织的内部秘密和代币来收获和潜在滥用。
Comcast的安全研究人员开发了一种检测组织秘密和用户的工具证书在他们无意中泄漏到GitHub上的情况下。该工具称为XGITguard,设计为可扩展且快速。
该工具是在黑帽子2020的阿森纳会议期间展示星期四(8月7日)的虚拟会议。
“XGITGuard利用了一种新的文本处理算法,可以在康卡斯特说,可以在具有高精度水平的文件中找到秘密。”“这可以显着帮助操作以及时采取适当的行动。”
Bahman Rashidi,康卡斯特高级网络安全研究员和系统建筑师讲述了每日SWbeplay2018官网IG.由于使用机器学习技术,该工具在代码存储库中挑选出杂散秘密而快速。
“XGITGUARD是一个AI.基于私人信息在Github上发布的私人信息(如密码或凭据),“Rashidi解释说,旨在检测私人信息。
“Comcast Technologists开发了该工具,以解决软件开发环境中共同的挑战,其中大量开发人员每天使用GitHub。”
“即使在企业规模,AI技术为工具提供动力的技术,即使在企业缩放,”他补充道。
根据Comcast的说法,该工具利用了一种可以找到“位于文件中的私人信息以及以高精度的私人信息以及高精度的上下文”。
泄漏秘密
无意中通过Github和其他类似的存储库暴露秘密是Infosec中的已知问题。以前开发了自动检测泄漏的各种工具,但康卡斯特表示其实用程序克服了以前的限制。
康卡斯表示,XGITGuard提供了高效和准确的文本处理算法,提供了较低的假阳性检测。
Rashidi解释说:“XGITGUARD效率的关键是生成查询的方式。
“GitHub包含超过3000万的存储库和API限制,并及时发现秘密充满挑战。XGITGuard介绍了一种新的搜索方法,可以利用现有的GitHub搜索API并按比例查看搜索结果。“
