K
а https://github.com/zricethezav/gitleaks или подобное в pipeline никто не вкручивал? я просто как прикину последствия - прям совсем приунываю.
Size: a a a
2020 February 18
S
Костя, вкручивай, если что - вали на меня!
rd
Konstantin
а https://github.com/zricethezav/gitleaks или подобное в pipeline никто не вкручивал? я просто как прикину последствия - прям совсем приунываю.
А что за последствия?
K
Stanislav Sharakhin
Костя, вкручивай, если что - вали на меня!
да какая разница, на кого валить? разгребать-то мне. :'(
K
А что за последствия?
ну чтобы составить пухлые whitelists - нужно будет перепроверить вручную тысячи кейзов.
а в процессе переписать историю некоторых репозиториев.
я на 146% уверен, что ничего продового у нас в репах не лежит, но чтоб сделать реально красиво - эт адок выйдет.
а в процессе переписать историю некоторых репозиториев.
я на 146% уверен, что ничего продового у нас в репах не лежит, но чтоб сделать реально красиво - эт адок выйдет.
rd
Konstantin
ну чтобы составить пухлые whitelists - нужно будет перепроверить вручную тысячи кейзов.
а в процессе переписать историю некоторых репозиториев.
я на 146% уверен, что ничего продового у нас в репах не лежит, но чтоб сделать реально красиво - эт адок выйдет.
а в процессе переписать историю некоторых репозиториев.
я на 146% уверен, что ничего продового у нас в репах не лежит, но чтоб сделать реально красиво - эт адок выйдет.
Переписывать историю такое себе, конечно. По мне так лучше проверить, что всё что в истории не валидно, а что валидно изменить.
K
Переписывать историю такое себе, конечно. По мне так лучше проверить, что всё что в истории не валидно, а что валидно изменить.
в любом раскладе - проверять всё вручную придётся.
rd
Из забавных утилит в эту же сторону =)
rd
shhgit: find secrets in real time across GitHub, GitLab and BitBucket
https://github.com/eth0izzle/shhgit/
Оставьте открытой на несколько минут страницу (https://shhgit.darkport.co.uk/) и увидите в реальном времени как утекают секреты (скриншот сделан за пару минут до поста)
https://github.com/eth0izzle/shhgit/
Оставьте открытой на несколько минут страницу (https://shhgit.darkport.co.uk/) и увидите в реальном времени как утекают секреты (скриншот сделан за пару минут до поста)
rd
Konstantin
в любом раскладе - проверять всё вручную придётся.
Проверять придётся, тут да.
K
shhgit: find secrets in real time across GitHub, GitLab and BitBucket
https://github.com/eth0izzle/shhgit/
Оставьте открытой на несколько минут страницу (https://shhgit.darkport.co.uk/) и увидите в реальном времени как утекают секреты (скриншот сделан за пару минут до поста)
https://github.com/eth0izzle/shhgit/
Оставьте открытой на несколько минут страницу (https://shhgit.darkport.co.uk/) и увидите в реальном времени как утекают секреты (скриншот сделан за пару минут до поста)
у нас это через bandit + ещё что-то питоновое вкручено.
rd
Konstantin
у нас это через bandit + ещё что-то питоновое вкручено.
👍
2020 February 19
S
Konstantin
а https://github.com/zricethezav/gitleaks или подобное в pipeline никто не вкручивал? я просто как прикину последствия - прям совсем приунываю.
https://github.com/dxa4481/truffleHog
мне вот это понравилось
мне вот это понравилось
K
https://github.com/dxa4481/truffleHog
мне вот это понравилось
мне вот это понравилось
он памяти как не в себя жрёт. даже на среднем репозитории - за 8 гигов легко выпрыгивает. :-(
AA
Я все эти тулы перепробовал они все не очень, пришлось своё писать.
AA
Konstantin
а https://github.com/zricethezav/gitleaks или подобное в pipeline никто не вкручивал? я просто как прикину последствия - прям совсем приунываю.
Ты не устанешь эту штуку в каждый пайплан вкручивать?
Мне кажется лучше поставить эту тулу отдельным демоном, чтобы она сама постоянно сканила все репозитории и находила косяки.
Мне кажется лучше поставить эту тулу отдельным демоном, чтобы она сама постоянно сканила все репозитории и находила косяки.
K
Ты не устанешь эту штуку в каждый пайплан вкручивать?
Мне кажется лучше поставить эту тулу отдельным демоном, чтобы она сама постоянно сканила все репозитории и находила косяки.
Мне кажется лучше поставить эту тулу отдельным демоном, чтобы она сама постоянно сканила все репозитории и находила косяки.
у меня пайплайны на 90% из инклудов состоят. просто подсуну в сесурити-инклуд и оно сразу везде.
GG
Konstantin
у меня пайплайны на 90% из инклудов состоят. просто подсуну в сесурити-инклуд и оно сразу везде.
👍
AA
ну круто. А у тебя какая CI?
K
gitlab ci.