The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."  +/
Сообщение от opennews (?), 22-Июл-18, 10:24 
Подготовлен (https://github.com/zricethezav/gitleaks/releases/tag/v1.0.0) первый выпуск утилиты Gitleaks (https://github.com/zricethezav/gitleaks/), предназначенной для анализа присутствия конфиденциальных данных в заданном Git-реопзитории. Например, не редкость, когда в репозиторий в результате недосмотра или ошибки настройки попадают файлы конфигурации с паролями к СУБД или секретные ключи для доступа или создания цифровых подписей.

Подобные утечки часто остаются незамеченными разработчиками, чем пользуются злоумышленники (например, часто в репозиториях забывают ключи доступа к облачным сервисам или СУБД, что используется атакующими для получения контроля за сайтами). Gitleaks позволяет провести анализ локального или внешнего git-репозитория на наличие данных, напоминающих ключи SSH и RSA или идентификаторы доступа к Amazon AWS и Facebook. Код проекта написан на языке Go и распространяется под лицензией GPLv3.


URL: https://www.reddit.com/r/netsec/comments/90rsnt/gitleaks_v10.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=49004

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."  –2 +/
Сообщение от Старый одмин (?), 22-Июл-18, 10:24 
Автоматизация работает на того, кто начал раньше.
Эта штука выполняет проверки по всей истории коммитов? Мало удалить файл и закоммитить изменения, нужно перезаписывать историю репозитория (git filter).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."  +1 +/
Сообщение от пох (?), 22-Июл-18, 15:01 
раньше начали вручную шерстить "интересные" репо на гитхабе.

а сейчас стало скушно - решили автоматизировать. Мы же понимаем что когда пишут "аудит", подразумевают "поиск инфы и уязвимостей для мамкиных какеров - в автоматическом режиме и знать им ничего о технологии не надо"?

> Эта штука выполняет проверки по всей истории коммитов?

а надо? Вот ты вот найдешь, если заранее не будешь знать где, сто лет назад удаленный файл? Особенно если он не сопровождается комменарием "мы тут удалили пароли и ключи, которые и по сей день подойдут к нашей системе".

(и да, какой идиот, удалив файл с паролями, первым делом их не меняет?)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."  +4 +/
Сообщение от Гентушник (ok), 23-Июл-18, 01:33 
> нужно перезаписывать историю

Если пароли/ключи утекли в паблик, то нужно не стыдливо прятать свой факап, а менять эти пароли/ключи на новые.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."  +2 +/
Сообщение от angra (ok), 22-Июл-18, 10:28 
Комбинация grep с git-rev-list и git-show это слишком скучно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."  +3 +/
Сообщение от Аноним (3), 22-Июл-18, 10:32 
Ага, лучше все файлы проверить вручную!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."  +/
Сообщение от Orduemail (ok), 22-Июл-18, 17:46 
Как это автоматизировать?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."  +1 +/
Сообщение от angra (ok), 22-Июл-18, 20:44 
Шелл скриптом на несколько строчек с ручной адаптацией. На пару страниц, если хотим сделать всё по феншую с разбором каких-нибудь параметров командной строки.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."  +2 +/
Сообщение от Orduemail (ok), 22-Июл-18, 22:06 
> Шелл скриптом на несколько строчек с ручной адаптацией.

Да, для локалхоста сойдёт, если нет других альтернатив.

> На пару страниц, если хотим сделать всё по феншую с разбором каких-нибудь параметров командной строки.

"Страница" -- это 25 строк?

Ну-ну. Попробуй.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."  –1 +/
Сообщение от пох (?), 22-Июл-18, 22:45 
"так мы покупаем или продаем?"

длялокалхоста сойдет - это если мы свои пароли боимся упустить.
А если мы чужие на гитхабе потырить пришли - то они могут быть где угодно и в какой угодно форме, нужно либо разбираться в чужом проекте (окупится, если там лежит что-то действительно ценное), либо таки автоматика. Пацаны вот решили, что все, что можно было стырить в ручную, украдено уже до них, пора писать автолопату.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."  +1 +/
Сообщение от Orduemail (ok), 23-Июл-18, 04:51 
То что можно украсть автолопатой, я подозреваю, тоже давно украдено. Сколько лет прошло с того момента как весь интернет узнал о случае, когда пароли были опубликованы на github'е? Я спорить готов, что в течение недели после публикации той новости было сделано не менее десяти таких автолопат. И, отмечу, это весьма пессимистичные оценки, в том смысле что они заведомо занижены, дабы даже вмешательство кого-то всеведующего, кто реально может подсчитать количество автолопат и дату их изготовления, не смогло бы опровергнуть мои слова.

Возможно, что такие автолопаты существовали ещё до того, как была опубликована первая новость. Но тут сложнее оценить вероятность подобного, и уж тем более сложно дать оценку дате первого появления такой автолопаты. Утилиты которые перерывают много файлов в поисках чего интересного совершенно определённо существовали 15 лет назад -- я видел их тогда. Но они были задуманы как "полезная" нагрузка для всяких там троянов, чтобы отсканировать C:, и выудить оттуда все пароли, в каком бы формате они не лежали бы там. Всё что было надо -- это адаптировать эти утилиты для поиска по github'у.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."  +1 +/
Сообщение от нах (?), 23-Июл-18, 11:50 
> Возможно, что такие автолопаты существовали ещё до того, как была опубликована первая новость.

да, но те были жядные и не поделились. А эти поделились - наверное, рассчитывают, что им помогут ее улучшить, и они получат с этого свой профит. Наивные...

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

10. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."  +/
Сообщение от Аноним (10), 22-Июл-18, 23:23 
А зачем?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."  –1 +/
Сообщение от Аноним (12), 23-Июл-18, 02:32 
Не надо ничего комбинировать. Есть git log -p
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "Представлен Gitleaks 1.0, инструмент для аудита git-репозито..."  +/
Сообщение от нах (?), 23-Июл-18, 11:53 
> Не надо ничего комбинировать. Есть git log -p

а в нем прямо вот написано "йа выложил файл с паролями, радуйтесь!" ?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor