SecretScanner - Lacak file rahasia

 Kang Asu

SecretScanner - Temukan Rahasia Dan Kata Sandi Dalam Gambar Kontainer Dan Sistem File

Deepfence SecretScanner dapat menemukan rahasia potensial apa pun dalam gambar container atau sistem file.

Apakah Rahasia itu?

Rahasia adalah segala jenis data sensitif atau pribadi yang memberikan izin kepada pengguna resmi untuk mengakses infrastruktur TI penting (seperti akun, perangkat, jaringan, layanan berbasis cloud), aplikasi, penyimpanan, database, dan jenis data penting lainnya untuk suatu organisasi. Misalnya, kata sandi, ID akses AWS, kunci akses rahasia AWS, Kunci OAuth Google, dll. Adalah rahasia. Rahasia harus dijaga kerahasiaannya. Namun, terkadang penyerang dapat dengan mudah mengakses rahasia karena kebijakan keamanan yang salah atau kesalahan yang tidak disengaja oleh pengembang. Terkadang pengembang menggunakan rahasia default atau meninggalkan rahasia hard code seperti kata sandi, kunci API, enkripsikunci, kunci SSH, token, dll. dalam image container, terutama selama siklus pengembangan dan penerapan yang cepat di pipeline CI / CD. Selain itu, terkadang pengguna menyimpan kata sandi dalam teks biasa. Kebocoran rahasia ke entitas yang tidak sah dapat menempatkan organisasi dan infrastruktur Anda pada risiko keamanan yang serius.

Deepfence SecretScanner membantu pengguna memindai gambar container atau direktori lokal mereka di host dan mengeluarkan file JSON dengan detail semua rahasia yang ditemukan.

Lihat blog kami untuk lebih jelasnya.

Opsi baris perintah

$ ./SecretScanner --help

Usage of ./SecretScanner:
  -config-path string
    	Searches for config.yaml from given directory. If not set, tries to find it from SecretScanner binary's and current directory
  -debug-level string
    	Debug levels are one of FATAL, ERROR, IMPORTANT, WARN, INFO, DEBUG. Only levels higher than the debug-level are displayed (default "ERROR")
  -image-name string
    	Name of the image along with tag to scan for secrets
  -json-filename string
    	Output json file name. If not set, it will automatically create a filename based on image or dir name
  -local string
    	Specify local directory (absolute path) which to scan. Scans only given directory recursively.
  -max-multi-match uint
    	Maximum number of matches of same pattern in one file. This is used only when multi-match option is enabled. (default 3)
  -max-secrets uint
    	Maximum number of secrets to find in one container    image or file system. (default 1000)
  -maximum-file-size uint
    	Maximum file size to process in KB (default 256)
  -multi-match
    	Output multiple matches of same pattern in one file. By default, only one match of a pattern is output for a file for better performance
  -output-path string
    	Output directory where json file will be stored. If not set, it will output to current directory
  -temp-directory string
    	Directory to process and store repositories/matches (default "/tmp")
  -threads int
    	Number of concurrent threads (default number of logical CPUs)

Coba Cepat Menggunakan Docker

Instal buruh pelabuhan dan jalankan SecretScanner pada image container menggunakan petunjuk berikut:

• Bangun SecretScanner:

docker build --rm=true --tag=deepfenceio/secretscanning:latest -f Dockerfile .

• Atau, tarik build terbaru dari hub buruh pelabuhan dengan melakukan:

docker pull deepfenceio/secretscanning

• Tarik gambar wadah untuk memindai:

docker pull node:8.11

• Jalankan SecretScanner:

  • Pindai gambar container:

    docker run -it --rm --name=deepfence-secretscanner -v $(pwd):/home/deepfence/output -v /var/run/docker.sock:/var/run/docker.sock -v /usr/bin/docker:/usr/bin/docker deepfenceio/secretscanning -image-name node:8.11
    

  • Pindai direktori lokal:

    docker run -it --rm --name=deepfence-secretscanner -v $(pwd):/home/deepfence/output -v /var/run/docker.sock:/var/run/docker.sock -v /usr/bin/docker:/usr/bin/docker deepfenceio/secretscanning -local /home/deepfence/src/SecretScanner/test
    

Secara default, SecretScanner juga akan membuat file json dengan detail semua rahasia yang ditemukan di direktori kerja saat ini. Anda dapat secara eksplisit menentukan direktori keluaran dan nama file json menggunakan opsi yang sesuai.

Bangun Instruksi

1. Instal Docker
2. Pasang Hyperscan
3. Instal go untuk platform Anda (versi 1.14)
4. Pasang modul pergi, jika diperlukan: gohs, yaml.v3dancolor
5. go get github.com/deepfence/SecretScannerakan mengunduh dan membangun SecretScanner secara otomatis di direktori $GOPATH/binatau $HOME/go/bin. Atau, gandakan repositori ini dan jalankan go build -v -iuntuk membuat file yang dapat dieksekusi di direktori saat ini.
6. Edit file config.yaml seperlunya dan jalankan pemindai rahasia dengan direktori file config yang sesuai.

Sebagai referensi, file Instal memiliki perintah untuk membangun sistem ubuntu.

Instruksi untuk Menjalankan di Host Lokal

./SecretScanner --help

./SecretScanner -config-path /path/to/config.yaml/dir -local test

./SecretScanner -config-path /path/to/config.yaml/dir -image-name node:8.11

Contoh Output SecretScanner

Kredit

Kami telah membangun file konfigurasi dari proyek shhgit .

Penolakan

Alat ini tidak dimaksudkan untuk digunakan untuk peretasan. Harap gunakan hanya untuk tujuan yang sah seperti mendeteksi rahasia di infrastruktur yang Anda miliki, bukan di infrastruktur orang lain. DEEPFENCE tidak bertanggung jawab atas kehilangan keuntungan, kerugian bisnis, kerugian finansial lainnya, atau kerugian atau kerusakan lainnya yang mungkin disebabkan, secara langsung atau tidak langsung, oleh ketidakcukupan SecretScanner untuk tujuan atau penggunaan apa pun atau oleh cacat atau kekurangan apa pun. didalamnya.

Unduh SecretScanner

Regards

Kang Asu