Size: a a a

DevSecOps - русскоговорящее сообщество

2020 February 18

K

Konstantin in DevSecOps - русскоговорящее сообщество
а https://github.com/zricethezav/gitleaks или подобное в pipeline никто не вкручивал? я просто как прикину последствия - прям совсем приунываю.
источник

S

Stanislav Sharakhin in DevSecOps - русскоговорящее сообщество
Костя, вкручивай, если что - вали на меня!
источник

rd

rus dacent in DevSecOps - русскоговорящее сообщество
Konstantin
а https://github.com/zricethezav/gitleaks или подобное в pipeline никто не вкручивал? я просто как прикину последствия - прям совсем приунываю.
А что за последствия?
источник

K

Konstantin in DevSecOps - русскоговорящее сообщество
Stanislav Sharakhin
Костя, вкручивай, если что - вали на меня!
да какая разница, на кого валить? разгребать-то мне. :'(
источник

K

Konstantin in DevSecOps - русскоговорящее сообщество
rus dacent
А что за последствия?
ну чтобы составить пухлые whitelists - нужно будет перепроверить вручную тысячи кейзов.
а в процессе переписать историю некоторых репозиториев.

я на 146% уверен, что ничего продового у нас в репах не лежит, но чтоб сделать реально красиво - эт адок выйдет.
источник

rd

rus dacent in DevSecOps - русскоговорящее сообщество
Konstantin
ну чтобы составить пухлые whitelists - нужно будет перепроверить вручную тысячи кейзов.
а в процессе переписать историю некоторых репозиториев.

я на 146% уверен, что ничего продового у нас в репах не лежит, но чтоб сделать реально красиво - эт адок выйдет.
Переписывать историю такое себе, конечно. По мне так лучше проверить, что всё что в истории не валидно, а что валидно изменить.
источник

K

Konstantin in DevSecOps - русскоговорящее сообщество
rus dacent
Переписывать историю такое себе, конечно. По мне так лучше проверить, что всё что в истории не валидно, а что валидно изменить.
в любом раскладе - проверять всё вручную придётся.
источник

rd

rus dacent in DevSecOps - русскоговорящее сообщество
Из забавных утилит в эту же сторону =)
источник

rd

rus dacent in DevSecOps - русскоговорящее сообщество
shhgit: find secrets in real time across GitHub, GitLab and BitBucket
https://github.com/eth0izzle/shhgit/
Оставьте открытой на несколько минут страницу (https://shhgit.darkport.co.uk/) и увидите в реальном времени как утекают секреты (скриншот сделан за пару минут до поста)
источник

rd

rus dacent in DevSecOps - русскоговорящее сообщество
Konstantin
в любом раскладе - проверять всё вручную придётся.
Проверять придётся, тут да.
источник

K

Konstantin in DevSecOps - русскоговорящее сообщество
rus dacent
shhgit: find secrets in real time across GitHub, GitLab and BitBucket
https://github.com/eth0izzle/shhgit/
Оставьте открытой на несколько минут страницу (https://shhgit.darkport.co.uk/) и увидите в реальном времени как утекают секреты (скриншот сделан за пару минут до поста)
у нас это через bandit + ещё что-то питоновое вкручено.
источник

rd

rus dacent in DevSecOps - русскоговорящее сообщество
Konstantin
у нас это через bandit + ещё что-то питоновое вкручено.
👍
источник
2020 February 19

S

Slach in DevSecOps - русскоговорящее сообщество
Konstantin
а https://github.com/zricethezav/gitleaks или подобное в pipeline никто не вкручивал? я просто как прикину последствия - прям совсем приунываю.
https://github.com/dxa4481/truffleHog
мне вот это понравилось
источник

K

Konstantin in DevSecOps - русскоговорящее сообщество
он памяти как не в себя жрёт. даже на среднем репозитории - за 8 гигов легко выпрыгивает. :-(
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
Я все эти тулы перепробовал они все не очень, пришлось своё писать.
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
Konstantin
а https://github.com/zricethezav/gitleaks или подобное в pipeline никто не вкручивал? я просто как прикину последствия - прям совсем приунываю.
Ты не устанешь эту штуку в каждый пайплан вкручивать?
Мне кажется лучше поставить эту тулу отдельным демоном, чтобы она сама постоянно сканила все репозитории и находила косяки.
источник

K

Konstantin in DevSecOps - русскоговорящее сообщество
Alex Akulov
Ты не устанешь эту штуку в каждый пайплан вкручивать?
Мне кажется лучше поставить эту тулу отдельным демоном, чтобы она сама постоянно сканила все репозитории и находила косяки.
у меня пайплайны на 90% из инклудов состоят. просто подсуну в сесурити-инклуд и оно сразу везде.
источник

GG

George Gaál in DevSecOps - русскоговорящее сообщество
Konstantin
у меня пайплайны на 90% из инклудов состоят. просто подсуну в сесурити-инклуд и оно сразу везде.
👍
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
ну круто. А у тебя какая CI?
источник

K

Konstantin in DevSecOps - русскоговорящее сообщество
gitlab ci.
источник