Talisman
Talisman - это инструмент для проверки изменений кода, которые должны быть вытеснены из локального репозитория Git на рабочей станции разработчика. Talisman проверяет исходящие изменения на наличие открытых секретов, таких как потенциальные ключи SSH, токены авторизации, закрытые ключи и т.д.
#tools #secret #dev
Talisman - это инструмент для проверки изменений кода, которые должны быть вытеснены из локального репозитория Git на рабочей станции разработчика. Talisman проверяет исходящие изменения на наличие открытых секретов, таких как потенциальные ключи SSH, токены авторизации, закрытые ключи и т.д.
#tools #secret #dev
GitGuardian
GitGuardian - французский проект, направленный на поиск секретов в репозиториях. На текущий момент есть поддержка GitHub, GitHub Enterprise и в скором времени планируется GitLab. Работает как сервис, предоставляем доступ в репо, после чего проваливаемся в консоль, где имеем возможность запускать задачи на сканирования. Есть еще enterpise on-prem версия, но сейлы нам заявили, что с российским рынком они работать пока не готовы.
#tools #secret #dev
GitGuardian - французский проект, направленный на поиск секретов в репозиториях. На текущий момент есть поддержка GitHub, GitHub Enterprise и в скором времени планируется GitLab. Работает как сервис, предоставляем доступ в репо, после чего проваливаемся в консоль, где имеем возможность запускать задачи на сканирования. Есть еще enterpise on-prem версия, но сейлы нам заявили, что с российским рынком они работать пока не готовы.
#tools #secret #dev
Раскрытие секретов на GitHub: что делать после утечки учетных данных и ключей API
На GitGuardian есть отдельная статья, что делать, если вы поняли, что ваши секреты утекли в Интернет.
Если коротко:
1) Отозвать секреты, либо учетные данные
2) Если есть секреты, которые нельзя отозвать (например, записи БД), либо учетные данные, про которые никто не может гарантировать, что они были отозваны должным образом (например, ключи SSH, которые можно использовать в разных местах), то просто напросто избавиться от улик
3) Проверка журналов
4) Внедрение инструментов и лучших практик
Руководством по практике работы с API
#bestpractice #secret #ops
На GitGuardian есть отдельная статья, что делать, если вы поняли, что ваши секреты утекли в Интернет.
Если коротко:
1) Отозвать секреты, либо учетные данные
2) Если есть секреты, которые нельзя отозвать (например, записи БД), либо учетные данные, про которые никто не может гарантировать, что они были отозваны должным образом (например, ключи SSH, которые можно использовать в разных местах), то просто напросто избавиться от улик
3) Проверка журналов
4) Внедрение инструментов и лучших практик
Руководством по практике работы с API
#bestpractice #secret #ops
GitGuardian Blog - Take Control of Your Secrets Security
How to Avoid Security Risks After Leaking Credentials and API Keys on GitHub
If you have discovered that you have just exposed a sensitive file or secrets to a public git repository, there are some very important steps to follow.
LeakLooker GUI — Discover, browse and monitor database/source code leaks.
Вот кстати отдельный инструмент,который поможет определить утечку ваших данных в Интернете.
LeakLooker - это скрипт + веб-интерфейс для постоянного поиска утечки открытых баз данных и сервисов. В настоящее время он поддерживает Elasticsearch, CouchDB, MongoDB, Gitlab, Rsync, Jenkins, Sonarqube, Kibana, CassandraDB, RethinkDB, корзины S3.
https://medium.com/@woj_ciech/leaklooker-gui-discover-browse-and-monitor-database-source-code-leaks-f4b82bbb48fe
#tools #secret #ops
Вот кстати отдельный инструмент,который поможет определить утечку ваших данных в Интернете.
LeakLooker - это скрипт + веб-интерфейс для постоянного поиска утечки открытых баз данных и сервисов. В настоящее время он поддерживает Elasticsearch, CouchDB, MongoDB, Gitlab, Rsync, Jenkins, Sonarqube, Kibana, CassandraDB, RethinkDB, корзины S3.
https://medium.com/@woj_ciech/leaklooker-gui-discover-browse-and-monitor-database-source-code-leaks-f4b82bbb48fe
#tools #secret #ops
SheftLeft Scan - A Free & Open Source DevSecOps Platform
Проект предоставляет :
- SAST
- SCA
- Поиск секретов
- Проверка open-source лицензий
Из поддерживаемых языков: Salesforce Apex, Bash, Go, Java, JSP, Node.js, Oracle PL/SQL, Python, Rust (Dependency and Licence scan alone), Terraform, Salesforce Visual Force, Apache Velocity.
Есть интеграция с Visual Studio Code, а также со всеми популярными CI/CD.
https://www.shiftleft.io/scan/
#tools #sca #sast #secret #dev #ops
Проект предоставляет :
- SAST
- SCA
- Поиск секретов
- Проверка open-source лицензий
Из поддерживаемых языков: Salesforce Apex, Bash, Go, Java, JSP, Node.js, Oracle PL/SQL, Python, Rust (Dependency and Licence scan alone), Terraform, Salesforce Visual Force, Apache Velocity.
Есть интеграция с Visual Studio Code, а также со всеми популярными CI/CD.
https://www.shiftleft.io/scan/
#tools #sca #sast #secret #dev #ops
Finding secrets in repositories
truffleHog - open-source инструмент для поиска открытых секретов в репозиториях на GitHub. Инструмент просматривает всю история коммитов каждой ветки, проверяя каждый diff из каждого коммита на наличие секретов. Кстати, truffleHog для поиска секретов использует анализ энтропии Шеннона.
Среди его аналогов - defect-secrets, GitGuardian, о котором я писал ранее.
Дополнительно:
Раскрытие секретов на GitHub: что делать после утечки учетных данных и ключей API
LeakLooker - скрипт + веб-интерфейс для постоянного поиска утечки открытых баз данных и сервисов.
#secret #dev
truffleHog - open-source инструмент для поиска открытых секретов в репозиториях на GitHub. Инструмент просматривает всю история коммитов каждой ветки, проверяя каждый diff из каждого коммита на наличие секретов. Кстати, truffleHog для поиска секретов использует анализ энтропии Шеннона.
Среди его аналогов - defect-secrets, GitGuardian, о котором я писал ранее.
Дополнительно:
Раскрытие секретов на GitHub: что делать после утечки учетных данных и ключей API
LeakLooker - скрипт + веб-интерфейс для постоянного поиска утечки открытых баз данных и сервисов.
#secret #dev
AWS Exposable Resources
FestIN - open source инструмент для поиска открытых S3 Buckets. Поиск осуществляется как из DNS и веб-страниц (crawling), так и из самих S3, не требуя при этом креды AWS.
Сразу расскажу про Smogcloud - open source инструмент, представленный на Black Hat USA 2020, для анализа AWS ассетов. Кроме поиска теневых IP и неправильных настроек, Smogcloud умеет находить торчящие в Интернет FQDN и IP.
И, наконец, репозиторий, который поможет разобраться, какие ресурсы должны быть открыты для публичного доступа, а какие нет.
#aws #tools #secret #ops
FestIN - open source инструмент для поиска открытых S3 Buckets. Поиск осуществляется как из DNS и веб-страниц (crawling), так и из самих S3, не требуя при этом креды AWS.
Сразу расскажу про Smogcloud - open source инструмент, представленный на Black Hat USA 2020, для анализа AWS ассетов. Кроме поиска теневых IP и неправильных настроек, Smogcloud умеет находить торчящие в Интернет FQDN и IP.
И, наконец, репозиторий, который поможет разобраться, какие ресурсы должны быть открыты для публичного доступа, а какие нет.
#aws #tools #secret #ops
GitHub
GitHub - cr0hn/festin: FestIn - Open S3 Bucket Scanner
FestIn - Open S3 Bucket Scanner. Contribute to cr0hn/festin development by creating an account on GitHub.
GitLab Watchman
GitLab Watchman - инструмент для поиска чувствительной информации в GitLab через GitLab API. Под поиск попадают код, коммиты, вики страницы, issue, merge requests, milestones.
От этого же автора есть инструмент Slack Watchman, который делает все то же самое для Slack.
#dev #secret
GitLab Watchman - инструмент для поиска чувствительной информации в GitLab через GitLab API. Под поиск попадают код, коммиты, вики страницы, issue, merge requests, milestones.
От этого же автора есть инструмент Slack Watchman, который делает все то же самое для Slack.
#dev #secret
HuskyCI - open source tool that orchestrates security tests
huskyCI - open-source утилита для упрощения встраивания статических анализаторов в процессы CI. Из поддерживаемых Bandit, Safety, Brakeman, Npm Audit, Yarn Audit, Gosec, SpotBugs с Find Sec Bugs, TFSec, GitLeaks. Есть клиентская и серверная части. Веб-морда для управления уязвимостями отсутствует, но можно отправить запрос на API для извлечения результатов из БД. Подробнее можно прочитать в документации.
https://github.com/globocom/huskyci
#dev #ops #sast #secret
huskyCI - open-source утилита для упрощения встраивания статических анализаторов в процессы CI. Из поддерживаемых Bandit, Safety, Brakeman, Npm Audit, Yarn Audit, Gosec, SpotBugs с Find Sec Bugs, TFSec, GitLeaks. Есть клиентская и серверная части. Веб-морда для управления уязвимостями отсутствует, но можно отправить запрос на API для извлечения результатов из БД. Подробнее можно прочитать в документации.
https://github.com/globocom/huskyci
#dev #ops #sast #secret
Keep it secret. Keep it ... safe?
Что же будет, если эту политику выключить?
Спустя 6 минут после утечки происходит волна активности с IP-адресов в Нидерландах. Эти же IP-адреса связаны со спамом и узлами TOR. Почти сразу создаются экземпляры EC2. Очевидно, что это майнинг криптовалюты, а именно XMR (Monero).
Спустя 36 минут IP-адреса из Израиля используют секреты для доступа к S3. В это же время злоумышленник связывается с администратором требуя выкуп.
Итого 13 разных обращений к AWS в течение 24 часов и 4 злоумышленника выполнили действия, аналогичные описанным выше.
#secret
"It look just 6 minutes for the malicious actor to find the leaked credentials on GitHub and compromise our AWS account."
Любопытный эксперимент. Команда вендора Shhgit умышленно разместила ключи AWS в публичном репо GitHub. Первое, что происходит спустя 4 минуты - срабатывание политики AWSCompromisedKeyQuarantine, согласно которой скомпрометированные ключи отзываются с автоматическим уведомлением администратора. Что же будет, если эту политику выключить?
Спустя 6 минут после утечки происходит волна активности с IP-адресов в Нидерландах. Эти же IP-адреса связаны со спамом и узлами TOR. Почти сразу создаются экземпляры EC2. Очевидно, что это майнинг криптовалюты, а именно XMR (Monero).
Спустя 36 минут IP-адреса из Израиля используют секреты для доступа к S3. В это же время злоумышленник связывается с администратором требуя выкуп.
Итого 13 разных обращений к AWS в течение 24 часов и 4 злоумышленника выполнили действия, аналогичные описанным выше.
#secret
Rusty Hog - secret scanner in a Google doc, S3, Git, Confluence and Jira
Rusty Hog - простенький инструмент, написанный на Rust, для поиска секретов в Google документах, S3, Git, Confluence и Jira. Под капотом TruffleHog. Также поддерживает кастомные регулярные выражения.
#secret #dev
Rusty Hog - простенький инструмент, написанный на Rust, для поиска секретов в Google документах, S3, Git, Confluence и Jira. Под капотом TruffleHog. Также поддерживает кастомные регулярные выражения.
#secret #dev
GitHub
GitHub - newrelic/rusty-hog: A suite of secret scanners built in Rust for performance. Based on TruffleHog (https://github.com…
A suite of secret scanners built in Rust for performance. Based on TruffleHog (https://github.com/dxa4481/truffleHog) which is written in Python. - newrelic/rusty-hog
Revealing the secrets of Kubernetes secrets
Небольшая статья в блоге CNCF, посвященная секретам в Kubernetes.
"Can you keep a secret? Hope so, because in this blog, I reveal the secrets of Kubernetes secrets."
В частности рассматривается использование секретов через:
- Secret resources
- kubelet
- Pods
- Kubernetes API
- etcd
Для каждого из применений расписаны некоторые риски, которые стоит учесть. В том числе есть упоминание некоторых мер защиты. Например, механизма sealed-secrets, который позволяет скрыть секреты из JSON и YAML при их хранении в git. Или плагина Helm SOPS от Mozilla для безопасной работы с секретами в Helm.
#k8s #ops #secret
Небольшая статья в блоге CNCF, посвященная секретам в Kubernetes.
"Can you keep a secret? Hope so, because in this blog, I reveal the secrets of Kubernetes secrets."
В частности рассматривается использование секретов через:
- Secret resources
- kubelet
- Pods
- Kubernetes API
- etcd
Для каждого из применений расписаны некоторые риски, которые стоит учесть. В том числе есть упоминание некоторых мер защиты. Например, механизма sealed-secrets, который позволяет скрыть секреты из JSON и YAML при их хранении в git. Или плагина Helm SOPS от Mozilla для безопасной работы с секретами в Helm.
#k8s #ops #secret
OWASP WrongSecrets
12 тасков на компрометацию секретов. Здесь есть hardcoded passwords, использование секрета в ENV, ConfigMap, AWS Secrets Manager, Vault и инжект во время сборки. Для работы с платформой, соответственно, может понадобится k8s, облако (aws, gzp, azure в experimental), minikube, vault.
#dev #secret
12 тасков на компрометацию секретов. Здесь есть hardcoded passwords, использование секрета в ENV, ConfigMap, AWS Secrets Manager, Vault и инжект во время сборки. Для работы с платформой, соответственно, может понадобится k8s, облако (aws, gzp, azure в experimental), minikube, vault.
#dev #secret