Cómo encontrar secretos y archivos confidenciales en GitHub con shhgit
shhgit te permite encontrar secretos y archivos confidenciales en GitHub (incluidos Gists), GitLab y BitBucket casi en tiempo real.
Hay muchas herramientas excelentes disponibles para ayudar con esto dependiendo de qué lado de la cerca te sientes. En el lado de la ofensivo, las herramientas populares como gitrob y truggleHog. Estas herramientas se centran en explorar para encontrar tokens secretos de repositorios, usuarios u organizaciones específicas.
En el lado defensivo, GitHub está buscando activamente secretos a través de su proyecto de escaneo de tokens. El objetivo es identificar tokens secretos dentro del código revisado en tiempo real y notificar al proveedor del servicio para que tome medidas. Entonces, en teoría, si alguna clave secreta de AWS está comprometida con GitHub, Amazon será notificado y la revocará automáticamente.
Shhgit está desarrollado para crear conciencia y dar vida a la prevalencia de este problema. GitHub debe hacer más para evitar que los malintencionados usen el tesoro de información en toda la plataforma.
No conocemos el funcionamiento interno del proyecto de escaneo de tokens, pero seguramente es un gran proyecto para evitar las filtraciones.