The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Представлен Gitleaks 1.0, инструмент для аудита git-репозиториев

22.07.2018 07:53

Подготовлен первый выпуск утилиты Gitleaks, предназначенной для анализа присутствия конфиденциальных данных в заданном Git-репозитории. Например, нередкость, когда в репозиторий в результате недосмотра или ошибки настройки попадают файлы конфигурации с паролями к СУБД или секретные ключи для доступа или создания цифровых подписей.

Подобные утечки часто остаются незамеченными разработчиками, чем пользуются злоумышленники (например, часто в репозиториях забывают ключи доступа к облачным сервисам или СУБД, что используется атакующими для получения контроля за сайтами). Gitleaks позволяет провести анализ локального или внешнего git-репозитория на наличие данных, напоминающих ключи SSH и RSA или идентификаторы доступа к Amazon AWS и Facebook. Код проекта написан на языке Go и распространяется под лицензией GPLv3.

  1. Главная ссылка к новости (https://www.reddit.com/r/netse...)
  2. OpenNews: GitHub и Twitter по ошибке сохраняли открытые пароли в логе
  3. OpenNews: Производитель дронов DJI по ошибке опубликовал закрытые ключи и пароли
  4. OpenNews: Сбой антиспам-системы привёл к коллапсу в репозитории NPM
  5. OpenNews: GitHub добавил средства информирования об уязвимостях в репозиториях
  6. OpenNews: Невозможность удаления данных, по ошибке опубликованных на GitHub
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49004-git
Ключевые слова: git, audit
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Старый одмин (?), 10:24, 22/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Автоматизация работает на того, кто начал раньше.
    Эта штука выполняет проверки по всей истории коммитов? Мало удалить файл и закоммитить изменения, нужно перезаписывать историю репозитория (git filter).
     
     
  • 2.5, пох (?), 15:01, 22/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    раньше начали вручную шерстить "интересные" репо на гитхабе.

    а сейчас стало скушно - решили автоматизировать. Мы же понимаем что когда пишут "аудит", подразумевают "поиск инфы и уязвимостей для мамкиных какеров - в автоматическом режиме и знать им ничего о технологии не надо"?

    > Эта штука выполняет проверки по всей истории коммитов?

    а надо? Вот ты вот найдешь, если заранее не будешь знать где, сто лет назад удаленный файл? Особенно если он не сопровождается комменарием "мы тут удалили пароли и ключи, которые и по сей день подойдут к нашей системе".

    (и да, какой идиот, удалив файл с паролями, первым делом их не меняет?)

     
  • 2.11, Гентушник (ok), 01:33, 23/07/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > нужно перезаписывать историю

    Если пароли/ключи утекли в паблик, то нужно не стыдливо прятать свой факап, а менять эти пароли/ключи на новые.

     

  • 1.2, angra (ok), 10:28, 22/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Комбинация grep с git-rev-list и git-show это слишком скучно?
     
     
  • 2.3, Аноним (3), 10:32, 22/07/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ага, лучше все файлы проверить вручную!
     
  • 2.6, Ordu (ok), 17:46, 22/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как это автоматизировать?
     
     
  • 3.7, angra (ok), 20:44, 22/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Шелл скриптом на несколько строчек с ручной адаптацией. На пару страниц, если хотим сделать всё по феншую с разбором каких-нибудь параметров командной строки.
     
     
  • 4.8, Ordu (ok), 22:06, 22/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Шелл скриптом на несколько строчек с ручной адаптацией.

    Да, для локалхоста сойдёт, если нет других альтернатив.

    > На пару страниц, если хотим сделать всё по феншую с разбором каких-нибудь параметров командной строки.

    "Страница" -- это 25 строк?

    Ну-ну. Попробуй.

     
     
  • 5.9, пох (?), 22:45, 22/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "так мы покупаем или продаем?"

    длялокалхоста сойдет - это если мы свои пароли боимся упустить.
    А если мы чужие на гитхабе потырить пришли - то они могут быть где угодно и в какой угодно форме, нужно либо разбираться в чужом проекте (окупится, если там лежит что-то действительно ценное), либо таки автоматика. Пацаны вот решили, что все, что можно было стырить в ручную, украдено уже до них, пора писать автолопату.

     
     
  • 6.13, Ordu (ok), 04:51, 23/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То что можно украсть автолопатой, я подозреваю, тоже давно украдено. Сколько лет прошло с того момента как весь интернет узнал о случае, когда пароли были опубликованы на github'е? Я спорить готов, что в течение недели после публикации той новости было сделано не менее десяти таких автолопат. И, отмечу, это весьма пессимистичные оценки, в том смысле что они заведомо занижены, дабы даже вмешательство кого-то всеведующего, кто реально может подсчитать количество автолопат и дату их изготовления, не смогло бы опровергнуть мои слова.

    Возможно, что такие автолопаты существовали ещё до того, как была опубликована первая новость. Но тут сложнее оценить вероятность подобного, и уж тем более сложно дать оценку дате первого появления такой автолопаты. Утилиты которые перерывают много файлов в поисках чего интересного совершенно определённо существовали 15 лет назад -- я видел их тогда. Но они были задуманы как "полезная" нагрузка для всяких там троянов, чтобы отсканировать C:, и выудить оттуда все пароли, в каком бы формате они не лежали бы там. Всё что было надо -- это адаптировать эти утилиты для поиска по github'у.

     
     
  • 7.14, нах (?), 11:50, 23/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Возможно, что такие автолопаты существовали ещё до того, как была опубликована первая новость.

    да, но те были жядные и не поделились. А эти поделились - наверное, рассчитывают, что им помогут ее улучшить, и они получат с этого свой профит. Наивные...

     
  • 2.10, Аноним (10), 23:23, 22/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем?
     
  • 2.12, Аноним (12), 02:32, 23/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не надо ничего комбинировать. Есть git log -p
     
     
  • 3.15, нах (?), 11:53, 23/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Не надо ничего комбинировать. Есть git log -p

    а в нем прямо вот написано "йа выложил файл с паролями, радуйтесь!" ?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру