Das Tool is is grenzwertig und dennoch großartig:
Shhgit اسرار و پرونده های محرمانه را در کد GitHub و Gists پیدا می کند که در زمان واقعی تقریباً با گوش دادن به API Events GitHub انجام می شود.
پیدا کردن اسرار در GitHub چیز جدیدی نیست. بسیاری از ابزارهای عالی وجود دارد که بسته به اینکه در کدام طرف از حصار روی آن قرار دارید ، می توانید در این زمینه به شما کمک کنند. از طرف دیگر ، ابزارهای رایج مانند gitrob و truggleHog برای یافتن نشانه های مخفی از مخازن ، کاربران یا سازمان های خاص ، روی تاریخ حفاری تمرکز می کنند. در سمت دفاعی ، GitHub به صورت فعال اسکن اسرار را به عنوان بخشی از پروژه اسکن توکن خود انجام می دهد. هدف آنها شناسایی علائم مخفی به عنوان بخشی از کد تصویب شده در زمان واقعی و اطلاع رسانی به ارائه دهنده خدمات از این اقدام است. از نظر تئوری ، اگر هر کلید AWS مخفی به GitHub اختصاص داده شود ، آمازون اطلاع داده می شود و به طور خودکار آنها را لغو می کند.
من برای افزایش آگاهی و به کار انداختن این مشکل shggit را توسعه داده ام. امیدوارم GitHub اقدامات بیشتری را برای جلوگیری از استفاده بازیگران بد از طاق اطلاعات سکو انجام دهد. من عملکرد داخلی پروژه اسکن توکن آنها را نمی دانم ، اما تأخیر در زمان واقعی API کانال تا زمانی که خط لوله تمام شود و SLA هایی که برای تأمین کنندگان صادر می شود گامی در جهت درست است.
Das lässt sich auch gleich Live im Browser ausprobieren: VERSION LIVE. اسرار GitHub را مستقیماً در مرورگر خود پیدا کنید!
Popcorn bereitstellen. Der Unterhaltungswert ist hoch، soft soft die Fail richtig interpretieren kann. ؛ -)
