Skip to content

Latest commit

 

History

History
executable file
·
25 lines (15 loc) · 1.93 KB

2019-11-03-sshgit.github.password.leak.md

File metadata and controls

executable file
·
25 lines (15 loc) · 1.93 KB
layout title tags
post
实时发现 GitHub 密码泄露工具
其他

虽然每个人都知道不要讲密码、秘钥等信息放到仓库代码里面,但是密码泄露的事情其实一直在发生,简直就是防不胜防。

曾经年少无知的我就犯过这样的错误,以前调用 GitHub 的相关接口用到 Token,有时候会直接提交到代码仓库里面,不过机制的 GitHub 会直接给你发告警邮件,同时会废除你使用的这个 Token,避免了泄露。

GitHub 上其实已经有一个 Token 扫描的项目,可以链接:https://help.github.com/en/github/administering-a-repository/about-token-scanning 了解详情。目前已经支持了和很多的第三方公司联动,包括阿里、AWS、Google 等大厂。通过扫描公开的开源仓库,已经发现 Token 泄露,就会通知第三方公司,第三方公司会验证 Token 的有效性并及时废除。

通过下面的方式,也可以接入 GitHub 开发自己的 Token 报警服务。

说了这么多,今天要推荐的项目其实跟这个相关,作者不满足于 GitHub 官方提供的解决方案,因为 GitHub 并没有保证密码泄露通知的 SLA,经常会在代码提交后一段时间后(一般是构建流水线之后)才会收到代码泄露的通知,这在一些特殊场景下面是无法接受的。

所以作者通过使用 GitHub 提供的实时事件 API,做到了几乎实时的 Token 泄露检测。通过网站 https://shhgit.darkport.co.uk/ 可以查看到实时的检测结果。

项目地址:https://github.com/eth0izzle/shhgit