Подготовлен (https://github.com/zricethezav/gitleaks/releases/tag/v1.0.0) первый выпуск утилиты Gitleaks (https://github.com/zricethezav/gitleaks/), предназначенной для анализа присутствия конфиденциальных данных в заданном Git-реопзитории. Например, не редкость, когда в репозиторий в результате недосмотра или ошибки настройки попадают файлы конфигурации с паролями к СУБД или секретные ключи для доступа или создания цифровых подписей.

Подобные утечки часто остаются незамеченными разработчиками, чем пользуются злоумышленники (например, часто в репозиториях забывают ключи доступа к облачным сервисам или СУБД, что используется атакующими для получения контроля за сайтами). Gitleaks позволяет провести анализ локального или внешнего git-репозитория на наличие данных, напоминающих ключи SSH и RSA или идентификаторы доступа к Amazon AWS и Facebook. Код проекта написан на языке Go и распространяется под лицензией GPLv3.

URL: https://www.reddit.com/r/netsec/comments/90rsnt/gitleaks_v10.../
Новость: https://www.opennet.me/opennews/art.shtml?num=49004

• Представлен Gitleaks 1.0, инструмент для аудита git-репозито...,Старый одмин, 10:24 , 22-Июл-18
  • Представлен Gitleaks 1.0, инструмент для аудита git-репозито...,пох, 15:01 , 22-Июл-18
  • Представлен Gitleaks 1.0, инструмент для аудита git-репозито...,Гентушник, 01:33 , 23-Июл-18
• Представлен Gitleaks 1.0, инструмент для аудита git-репозито...,angra, 10:28 , 22-Июл-18
  • Представлен Gitleaks 1.0, инструмент для аудита git-репозито...,Аноним, 10:32 , 22-Июл-18
  • Представлен Gitleaks 1.0, инструмент для аудита git-репозито...,Ordu, 17:46 , 22-Июл-18
    • Представлен Gitleaks 1.0, инструмент для аудита git-репозито...,angra, 20:44 , 22-Июл-18
      • Представлен Gitleaks 1.0, инструмент для аудита git-репозито...,Ordu, 22:06 , 22-Июл-18
        • Представлен Gitleaks 1.0, инструмент для аудита git-репозито...,пох, 22:45 , 22-Июл-18
          • Представлен Gitleaks 1.0, инструмент для аудита git-репозито...,Ordu, 04:51 , 23-Июл-18
            • Представлен Gitleaks 1.0, инструмент для аудита git-репозито...,нах, 11:50 , 23-Июл-18
  • Представлен Gitleaks 1.0, инструмент для аудита git-репозито...,Аноним, 23:23 , 22-Июл-18
  • Представлен Gitleaks 1.0, инструмент для аудита git-репозито...,Аноним, 02:32 , 23-Июл-18
    • Представлен Gitleaks 1.0, инструмент для аудита git-репозито...,нах, 11:53 , 23-Июл-18

Автоматизация работает на того, кто начал раньше.
Эта штука выполняет проверки по всей истории коммитов? Мало удалить файл и закоммитить изменения, нужно перезаписывать историю репозитория (git filter).

раньше начали вручную шерстить "интересные" репо на гитхабе.

а сейчас стало скушно - решили автоматизировать. Мы же понимаем что когда пишут "аудит", подразумевают "поиск инфы и уязвимостей для мамкиных какеров - в автоматическом режиме и знать им ничего о технологии не надо"?

> Эта штука выполняет проверки по всей истории коммитов?

а надо? Вот ты вот найдешь, если заранее не будешь знать где, сто лет назад удаленный файл? Особенно если он не сопровождается комменарием "мы тут удалили пароли и ключи, которые и по сей день подойдут к нашей системе".

(и да, какой идиот, удалив файл с паролями, первым делом их не меняет?)

> нужно перезаписывать историю

Если пароли/ключи утекли в паблик, то нужно не стыдливо прятать свой факап, а менять эти пароли/ключи на новые.

Комбинация grep с git-rev-list и git-show это слишком скучно?

Ага, лучше все файлы проверить вручную!

Как это автоматизировать?

Шелл скриптом на несколько строчек с ручной адаптацией. На пару страниц, если хотим сделать всё по феншую с разбором каких-нибудь параметров командной строки.

> Шелл скриптом на несколько строчек с ручной адаптацией.

Да, для локалхоста сойдёт, если нет других альтернатив.

> На пару страниц, если хотим сделать всё по феншую с разбором каких-нибудь параметров командной строки.

"Страница" -- это 25 строк?

Ну-ну. Попробуй.

"так мы покупаем или продаем?"

длялокалхоста сойдет - это если мы свои пароли боимся упустить.
А если мы чужие на гитхабе потырить пришли - то они могут быть где угодно и в какой угодно форме, нужно либо разбираться в чужом проекте (окупится, если там лежит что-то действительно ценное), либо таки автоматика. Пацаны вот решили, что все, что можно было стырить в ручную, украдено уже до них, пора писать автолопату.

То что можно украсть автолопатой, я подозреваю, тоже давно украдено. Сколько лет прошло с того момента как весь интернет узнал о случае, когда пароли были опубликованы на github'е? Я спорить готов, что в течение недели после публикации той новости было сделано не менее десяти таких автолопат. И, отмечу, это весьма пессимистичные оценки, в том смысле что они заведомо занижены, дабы даже вмешательство кого-то всеведующего, кто реально может подсчитать количество автолопат и дату их изготовления, не смогло бы опровергнуть мои слова.

Возможно, что такие автолопаты существовали ещё до того, как была опубликована первая новость. Но тут сложнее оценить вероятность подобного, и уж тем более сложно дать оценку дате первого появления такой автолопаты. Утилиты которые перерывают много файлов в поисках чего интересного совершенно определённо существовали 15 лет назад -- я видел их тогда. Но они были задуманы как "полезная" нагрузка для всяких там троянов, чтобы отсканировать C:, и выудить оттуда все пароли, в каком бы формате они не лежали бы там. Всё что было надо -- это адаптировать эти утилиты для поиска по github'у.

> Возможно, что такие автолопаты существовали ещё до того, как была опубликована первая новость.

да, но те были жядные и не поделились. А эти поделились - наверное, рассчитывают, что им помогут ее улучшить, и они получат с этого свой профит. Наивные...

А зачем?

Не надо ничего комбинировать. Есть git log -p

> Не надо ничего комбинировать. Есть git log -p

а в нем прямо вот написано "йа выложил файл с паролями, радуйтесь!" ?