HasMySecretLeaked findet auf GitHub veröffentlichte Secrets

Das französische Softwareunternehmen GitGuardian hat das kostenfreie Toolset HasMySecretLeaked veröffentlicht, das auf Security und DevOps Engineers abzielt. Es bietet die Möglichkeit, eine begrenzte Zahl an Secrets pro Tag daraufhin zu prüfen, ob sie auf GitHub öffentlich auffindbar sind. Secrets können unter anderem API-Token, Cloud-Zugangsdaten und Datenbank-URLs umfassen. Als Grundlage dient eine Datenbank von GitGuardian, dem Hersteller der gleichnamigen Plattform für Codesicherheit.

Secret Leaks in Repositories, Issues und Kommentaren

Der Ansatz von HasMySecretLeaked soll sich von anderen Tools dadurch abheben, dass kein Scanning auf Seiten der Software Delivery Pipeline eines Unternehmens stattfindet. Denn es sei in Betracht zu ziehen, dass etwa ein Entwickler unbeabsichtigt eine Datenbank-URL auf seinem privaten Repository veröffentlicht oder ein Open-Source-Projekt kritische Credentials im Sourcecode enthält.

Das neue Toolset steht im Browser zur Verfügung. Dort lässt sich nach fünf Secrets pro Tag suchen. Wie die Seite verrät, bezieht sich die Suche auf eine GitGuardian-Datenbank mit mehr als 20 Millionen exponierten Secrets in öffentlichen GitHub-Repositories, Gists, Issues und Kommentaren. Die Datenbank wird weiterhin gepflegt und erweitert. Dabei sollen die von HasMySecretLeaked geprüften Secrets jedoch niemandem bekannt werden, auch nicht dem Anbieter des Tools selbst.

Nach Eingabe des Wertes eines Secrets hasht GitGuardian es clientseitig und sucht nach Matches, ohne dabei andere Secrets oder ihren Ort zu offenbaren. Sollte das Tool ein Match finden, informiert es Nutzerinnen und Nutzer über die Anzahl der Funde sowie darüber, wann der Leak zuerst auftauchte.

Für GitGuardian-User ist zudem ein Zugriff auf das Tool mittels Kommandozeile möglich, und wer die GitGuardian-Plattform verwendet, erhält integrierten Zugriff darauf.

Weitere Informationen zu HasMySecretLeaked sind auf dem Blog des Anbieters zu finden.

(mai)