Nueva aplicación web escanea GitHub en busca de secretos como criptoclaves y contraseñas

Una nueva aplicación web, llamada "Shhgit", escaneará el repositorio de código de GitHub basado en la web y buscará secretos delicados, como criptoclaves privadas.

Escaneo de criptoclaves y contraseñas privadas

 

El 17 de octubre, el programador y experto en seguridad Paul Price presentó su nueva herramienta, Shhgit. Shhgit busca secretos en los repositorios de código público que a veces terminan en manos de malos actores y que, en última instancia, tienen el potencial de causar importantes filtraciones de datos.

Price dijo que encontrar estos secretos potencialmente dañinos en GitHub no es nada nuevo. Según el programador, hay toneladas de herramientas de código abierto disponibles, tales como gitrob y truggleHog, que escarban en "comprometer la historia para encontrar tokens secretos de repositorios específicos, usuarios u organizaciones".

Price agregó que los desarrolladores de software, que a veces a regañadientes filtran secretos a través de los repositorios de código público, deberían asegurarse de que los secretos no terminen en su base de código en primer lugar. Como mínimo, dijo Price, "los archivos de configuración deben ser encriptados con una clave basada en el entorno".

Aunque desde el lanzamiento de GitHub ha existido el escaneo en busca de secretos en los repositorios de código público, algunas brechas de datos recientes, como la del hack a Capital One que dejó expuestos los datos personales de más de 100 millones de personas, muestran graves implicaciones de una seguridad defectuosa que puede dar lugar a daños a la reputación y a enormes multas.

Price afirma que su herramienta puede ayudar a encontrar cualquier secreto accidentalmente comprometido en tiempo real, lo que debería dar a los desarrolladores el tiempo para eliminar cualquier información sensible antes de que los hackers puedan tener un día de campo con la información privada de cualquiera.

Bitcoin nunca ha sido hackeado

En julio, Paige Thompson supuestamente