新网络应用程序扫描GitHub,探测加密密钥和密码等机密

一款名为“Shhgit”的新网络应用程序将扫描基于网络的GitHub代码库,并搜索敏感的机密信息,例如私人加密密钥。

于10月17日,编程人员及安全专家Paul Price推介了他的新工具Shhgit。 Shhgit扫描公共代码存储库中的机密,而这些代码存储库有时会落入居心不良人士手中,最终有可能导致严重的数据泄露。

Price声明,在GitHub上找到这些潜在有害的秘密并不是什么新鲜事。据该编程人员的说法,大量的开源工具如gitrob和truggleHog全都有,“致力于从特定存储库,用户或组织中查找机密代币的历史记录”。

Price还补充说,有时不小心泄漏了公共代码存储库中秘密的软件开发者,首先应该确保秘密不会落入他们的代码库中。 Price说,“配置文件应该用基于环境的密钥加密。“

尽管自GitHub推出以来,在公共代码存储库中扫描秘密的问题就已存在,但最近发生的一些数据泄露事件,例如导致超过1亿人的个人数据遭泄露的Capital One黑客攻击事件,就凸显了安全缺陷的严重后果,那将能招致声誉上的损失及巨额的罚款。

Price表示,他的工具有助于实时找到任何意外传输的机密,让开发者有时间赶在黑客利用任何人的私人信息兴风作浪之前,删除任何敏感信息。

Leave a Reply

Your email address will not be published. Required fields are marked *

shares