OpenForum RSS: Представлен Gitleaks 1.0, инструмент для аудита git-репозито... https://opennet.me/openforum/vsluhforumID3/114883.html Подготовлен (https://github.com/zricethezav/gitleaks/releases/tag/v1.0.0) первый выпуск утилиты Gitleaks (https://github.com/zricethezav/gitleaks/), предназначенной для анализа присутствия конфиденциальных данных в заданном Git-реопзитории. Например, не редкость, когда в репозиторий в результате недосмотра или ошибки настройки попадают файлы конфигурации с паролями к СУБД или секретные ключи для доступа или создания цифровых подписей. <br><br><br><br>Подобные утечки часто остаются незамеченными разработчиками, чем пользуются злоумышленники (например, часто в репозиториях забывают ключи доступа к облачным сервисам или СУБД, что используется атакующими для получения контроля за сайтами). Gitleaks позволяет провести анализ локального или внешнего git-репозитория на наличие данных, напоминающих ключи SSH и RSA или идентификаторы доступа к Amazon AWS и Facebook. Код проекта написан на языке Go и распространяется под лицензией GPLv3.<br><br><br>URL: https://www.reddit.com/r/netsec/comments/90rsnt/gitleaks_v100_audit_git_repos_for_s Представлен Gitleaks 1.0, инструмент для аудита git-репозито... (нах) https://opennet.me/openforum/vsluhforumID3/114883.html#15 Mon, 23 Jul 2018 08:53:04 GMT &gt; Не надо ничего комбинировать. Есть git log -p<br><br>а в нем прямо вот написано "йа выложил файл с паролями, радуйтесь!" ? <br> Представлен Gitleaks 1.0, инструмент для аудита git-репозито... (нах) https://opennet.me/openforum/vsluhforumID3/114883.html#14 Mon, 23 Jul 2018 08:50:26 GMT &gt; Возможно, что такие автолопаты существовали ещё до того, как была опубликована первая новость.<br><br>да, но те были жядные и не поделились. А эти поделились - наверное, рассчитывают, что им помогут ее улучшить, и они получат с этого свой профит. Наивные...<br><br> Представлен Gitleaks 1.0, инструмент для аудита git-репозито... (Ordu) https://opennet.me/openforum/vsluhforumID3/114883.html#13 Mon, 23 Jul 2018 01:51:32 GMT То что можно украсть автолопатой, я подозреваю, тоже давно украдено. Сколько лет прошло с того момента как весь интернет узнал о случае, когда пароли были опубликованы на github'е? Я спорить готов, что в течение недели после публикации той новости было сделано не менее десяти таких автолопат. И, отмечу, это весьма пессимистичные оценки, в том смысле что они заведомо занижены, дабы даже вмешательство кого-то всеведующего, кто реально может подсчитать количество автолопат и дату их изготовления, не смогло бы опровергнуть мои слова.<br><br>Возможно, что такие автолопаты существовали ещё до того, как была опубликована первая новость. Но тут сложнее оценить вероятность подобного, и уж тем более сложно дать оценку дате первого появления такой автолопаты. Утилиты которые перерывают много файлов в поисках чего интересного совершенно определённо существовали 15 лет назад -- я видел их тогда. Но они были задуманы как "полезная" нагрузка для всяких там троянов, чтобы отсканировать C:, и выудить оттуда все пароли, в каком бы Представлен Gitleaks 1.0, инструмент для аудита git-репозито... (Аноним) https://opennet.me/openforum/vsluhforumID3/114883.html#12 Sun, 22 Jul 2018 23:32:04 GMT Не надо ничего комбинировать. Есть git log -p<br> Представлен Gitleaks 1.0, инструмент для аудита git-репозито... (Гентушник) https://opennet.me/openforum/vsluhforumID3/114883.html#11 Sun, 22 Jul 2018 22:33:31 GMT &gt; нужно перезаписывать историю<br><br>Если пароли/ключи утекли в паблик, то нужно не стыдливо прятать свой факап, а менять эти пароли/ключи на новые.<br> Представлен Gitleaks 1.0, инструмент для аудита git-репозито... (Аноним) https://opennet.me/openforum/vsluhforumID3/114883.html#10 Sun, 22 Jul 2018 20:23:25 GMT А зачем?<br> Представлен Gitleaks 1.0, инструмент для аудита git-репозито... (пох) https://opennet.me/openforum/vsluhforumID3/114883.html#9 Sun, 22 Jul 2018 19:45:33 GMT "так мы покупаем или продаем?"<br><br>длялокалхоста сойдет - это если мы свои пароли боимся упустить.<br>А если мы чужие на гитхабе потырить пришли - то они могут быть где угодно и в какой угодно форме, нужно либо разбираться в чужом проекте (окупится, если там лежит что-то действительно ценное), либо таки автоматика. Пацаны вот решили, что все, что можно было стырить в ручную, украдено уже до них, пора писать автолопату.<br><br> Представлен Gitleaks 1.0, инструмент для аудита git-репозито... (Ordu) https://opennet.me/openforum/vsluhforumID3/114883.html#8 Sun, 22 Jul 2018 19:06:48 GMT &gt; Шелл скриптом на несколько строчек с ручной адаптацией.<br><br>Да, для локалхоста сойдёт, если нет других альтернатив.<br><br>&gt; На пару страниц, если хотим сделать всё по феншую с разбором каких-нибудь параметров командной строки. <br><br>"Страница" -- это 25 строк?<br><br>Ну-ну. Попробуй.<br> Представлен Gitleaks 1.0, инструмент для аудита git-репозито... (angra) https://opennet.me/openforum/vsluhforumID3/114883.html#7 Sun, 22 Jul 2018 17:44:41 GMT Шелл скриптом на несколько строчек с ручной адаптацией. На пару страниц, если хотим сделать всё по феншую с разбором каких-нибудь параметров командной строки. <br>