クレデンシャル情報がコンテンツ内に無いか確認

September 26, 2018

renoretriever

GitHub や GitLab などを使っていてうっかりクレデンシャル情報を載せてしまうと即死なので、 記載されてないかチェックしたい。 今回は下記を使ってみた。

• git-secrets
• gittyleaks
• truffleHog

git-secrets

• git-secrets
• 特徴

  • bash スクリプト

  • 人気っぽい

  • AWS に関してはテンプレートが用意してあるのでそのまま利用できる

    $ git secrets --register-aws
    

  • 自分で正規表現書いて追加できるし、exclude も書ける

  • Perl の正規表現拡張(grep の p オプション)は使えない

    • 先読みとか

  • コミット時にクレデンシャル情報がないか、また既存のリポジトリ(過去コミット文も含めて)に入ってないか確認してくれる

    • 入っているとコミット時エラーになる
• 使ってみて
  • AWS 使っているなら必須で入れましょう
  • 自分であれこれできるので応用は効く

gittyleaks

• gittyleaks
• 特徴
  • Python スクリプト
  • キーワードに合致したの拾ってくれる
    • https://github.com/kootenpv/gittyleaks/blob/master/gittyleaks/gittyleaks.py#L14-L16
  • 既存のリポジトリ(過去コミット文も含めて)に入ってないか確認してくれる
• 使ってみて
  • さくっと使う分には十分だと思う
  • おすすめ

truffleHog

• truffleHog
• 特徴
  • Python スクリプト
  • エントロピーが高いものを抽出してくれる
  • 既存のリポジトリ(過去コミット文も含めて)に入ってないか確認してくれる
  • 見る
    • http://blog.dkbza.org/2007/05/scanning-data-for-entropy-anomalies.html
• 使ってみて
  • 乱数とか抽出してくれるので良い