GitGuardian, şirketlerin geliştiricilerinin hem şirketle ilgili hem de kişisel bilgileri kamuya açık GitHub’da sızdırdığı sırların sayısını keşfetmelerine yardımcı olacak bir araç yayınladı.
Kuruluşunuz açık kaynakla uğraşmasa bile, geliştiricileriniz veya alt yüklenicileriniz kişisel GitHub depolarında yanlışlıkla hassas bilgileri sızdırabilir. Kurumsal sırları veya kaynak kodlarını düşünün – önemli bir risk uyarısı!
Alan adınızı girin ve GitHub’da sızdırılan sırların sayısı ve geçerli sırların sayısı gibi değerli metrikleri alın.
Denetimde yer alan veriler
Taranan taahhütler: GitHub’daki tüm aktiviteler bir commit e-postasına bağlıdır. GitGuardian bu commit e-postalarını GitHub hesaplarına bağlayabilir ve dolayısıyla bu hesabın aktivitesini izleyebilir.
Çevrenizdeki aktif geliştiriciler: GitHub profilinde şirketinizin adını belirten veya GitHub’da herkese açık olarak kod gönderirken şirket e-posta adresini kullanan geliştiriciler.
GitHub’da sırlar kamuoyuna sızdırıldı:Sırlar, sistemlere veya verilere erişim sağlayan dijital kimlik doğrulama bilgileridir. Bunlar genellikle API anahtarları veya kullanıcı adları ve parolalardır.
Geçerli sırlar GitHub’da herkese açık olarak mevcuttur: Kötü niyetli kişiler tarafından istismar edilebilecek sırlar.
Kategoriye göre sırların dökümü:Her kategori için sır sızıntılarının yüzdesi (örn. Özel anahtar, Sürüm kontrol platformu, Bulut sağlayıcı, Mesajlaşma sistemi, Veri depolama, vb.).
Şirketinizin doğrudan commit’lerde belirtilmesi: Taahhüt edilen kodda şirketinizin alan adını belirten taahhütler.
En az bir gizli sızıntıya karışan geliştiriciler: Çevrenizdeki en az bir sırrı sızdıran geliştiriciler.
Hassas bir dosyada bulunan sırlar:Kendi içinde hassas olan bir dosyanın (örneğin bir yapılandırma dosyasının) içinde yayınlanan sırlar.
Halka açık olaylar: Bir Genel Olay, özel bir deponun herkese açık hale getirilmesiyle oluşur. Böyle bir olay, hassas verilerin bulunabileceği bir deponun tüm geçmişini ifşa ettiği için hassastır.
GitHub’dan silinen sırlar: GitHub’da artık bulunamayan, ancak sızdırılan ve GitHub arşivlerinde bulunabilen sırlar.
GitGuardian’ın sır tespit motoru 2017’den beri üretimde çalışıyor ve GitHub’dan gelen milyarlarca commit’i analiz ediyor. Algoritmalar ve dedektörler sürekli olarak 4 milyar commit’lik bir veri kümesine karşı eğitim alıyor. En son State of Secrets Sprawl 2024, 2023’te GitHub’da 12,8 milyon yeni sır oluşumunun ifşa edildiğini ortaya koyuyor. GitGuardian, öncelikle GitHub’da aktif olan geliştiricilerinizi belirleyerek şirketinizle kaç tane sızıntının bağlantılı olduğunu söyleyebilir.
Kuruluşunuz açık kaynakla uğraşmasa bile, geliştiricileriniz veya alt yüklenicileriniz kişisel GitHub depolarında yanlışlıkla hassas bilgileri sızdırabilir. Bu, önemli bir risk oluşturan kurumsal sırları veya kaynak kodlarını içerir.
Denetim, A’dan E’ye kadar değişen bir puan üretir. Bu puan, tespit edilen sabit kodlu sırların hacmini, sızdıranların sayısını (en az bir sırrı sızdıran geliştiriciler) ve son üç yılda kapsamınızdaki geliştiricilerin sayısını hesaba katar. Şirketler, geliştirici sayılarına göre gruplandırılır ve bu da adil bir karşılaştırmaya olanak tanır.