Das Tool is is grenzwertig und dennoch großartig:
Shggit اسرار و پرونده های محرمانه را در کد GitHub و Gists پیدا می کند که در زمان واقعی تقریباً با گوش دادن به API Events GitHub انجام می شود.
پیدا کردن اسرار در GitHub چیز جدیدی نیست. بسته به این که کدام حصار روی آن قرار دارید ، ابزارهای بسیار مفیدی وجود دارد که می توانند در این امر به شما کمک کنند. از طرف حریف ، ابزارهای رایج مانند gitrob و truggleHog برای پیدا کردن نشانه های مخفی از مخازن ، کاربران یا سازمان های خاص روی تاریخ حفاری تمرکز می کنند. در سمت دفاعی ، GitHub به صورت فعال اسکن اسرار را به عنوان بخشی از پروژه اسکن توکن خود انجام می دهد. هدف آنها شناسایی علائم مخفی به عنوان بخشی از کد تصویب شده در زمان واقعی و اطلاع رسانی به ارائه دهنده خدمات از این اقدام است. بنابراین به لحاظ نظری ، اگر هر کلید AWS مخفی به GitHub اختصاص داده شود ، آمازون اطلاع داده می شود و به طور خودکار آنها را ابطال می کند.
من برای افزایش آگاهی و به کار انداختن این مشکل shggit را توسعه داده ام. امیدوارم GitHub اقدامات بیشتری را برای جلوگیری از استفاده بازیگران بد از طاق اطلاعات سکو انجام دهد. من عملکرد داخلی پروژه اسکن توکن آنها را نمی دانم ، اما تأخیر در زمان واقعی API کانال تا زمانی که لوله به پایان برسد و SLA ها برای تأمین کنندگان صادر شود ، گامی در جهت درست است.
Das lässt sich auch gleich Live im Browser ausprobieren: VERSION LIVE. اسرار GitHub را مستقیماً در مرورگر خود پیدا کنید!
Popcorn bereitstellen. Der Unterhaltungswert ist hoch، soft soft die Fail richtig interpretieren kann. ؛ -)
