layout | title | tags |
---|---|---|
post |
实时发现 GitHub 密码泄露工具 |
其他 |
虽然每个人都知道不要讲密码、秘钥等信息放到仓库代码里面,但是密码泄露的事情其实一直在发生,简直就是防不胜防。
曾经年少无知的我就犯过这样的错误,以前调用 GitHub 的相关接口用到 Token,有时候会直接提交到代码仓库里面,不过机制的 GitHub 会直接给你发告警邮件,同时会废除你使用的这个 Token,避免了泄露。
GitHub 上其实已经有一个 Token 扫描的项目,可以链接:https://help.github.com/en/github/administering-a-repository/about-token-scanning 了解详情。目前已经支持了和很多的第三方公司联动,包括阿里、AWS、Google 等大厂。通过扫描公开的开源仓库,已经发现 Token 泄露,就会通知第三方公司,第三方公司会验证 Token 的有效性并及时废除。
通过下面的方式,也可以接入 GitHub 开发自己的 Token 报警服务。
说了这么多,今天要推荐的项目其实跟这个相关,作者不满足于 GitHub 官方提供的解决方案,因为 GitHub 并没有保证密码泄露通知的 SLA,经常会在代码提交后一段时间后(一般是构建流水线之后)才会收到代码泄露的通知,这在一些特殊场景下面是无法接受的。
所以作者通过使用 GitHub 提供的实时事件 API,做到了几乎实时的 Token 泄露检测。通过网站 https://shhgit.darkport.co.uk/ 可以查看到实时的检测结果。