啊shhgit!
Bug Hunters和Security研究人员已经提供了一个新工具,用于搜索无意中发布的敏感材料在代码存储库GitHub上。
本月早些时候推出,Shhgit.通过侦听GitHub Events API,在GitHub代码库中查找秘密和敏感文件。
密码和连接字符串等秘密最终发布于GitHub上,因为用户无法在其代码中查找应用程序设置和配置文件,以及其他安全监督。
在GitHub中发现秘密不是新的。例如,GITROB等工具允许Red Coders挖掘提交历史记录,以查找特定存储库,用户或组织的秘密令牌。
GitHub本身通过其积极扫描秘密令牌扫描项目。
此主动性意味着,至少在理论上,如果任何AWS秘密密钥致力于GitHub,将通知亚马逊并自动撤销它们。
Shhgit与其他工具不同,因为用户没有必要指定任何目标。相反,工具点击进入GitHub Firehose以自动标记泄漏的秘密。
“随着签名的一些调整,Shhgit将为您的享有优秀的补充BUG赏金狩猎工作流程,“开发商保罗价格在一个Reddit上的讨论线程。
价格也包裹了一个工具beplay体育能用吗网页前端,提供A.现场直播行动中的效用。
“它使用了120个基于签名的检查config.yaml.Developer解释说,查看内容上的文件名,文件扩展名和正则表达式的文件,“
“为了减少”误报“,熵检查只是使用Shannon的匹配签名。”
Shhgit的一些代码由Michael Henriksen从Gitrob借来。价格称他会欢迎对项目的任何改进。
你可能还喜欢GitHub平台改进正在帮助ORGS保持依赖关系
