Nachdem ich den GitHub Actions Marketplace nach der Sicherheit dieser Aktionen durchsucht habe (lesen Sie diesen Beitrag hier) war ich neugierig zu sehen, was passiert, wenn ich die Option Geheimes Scannen auf den geforkten Repositories. Ich gebe regelmäßig Kurse über die Verwendung von GitHub Advanced Security (wozu auch das geheime Scannen gehört) und ich sage meinen Studenten immer, dass sie das geheime Scannen in ihren Repositories aktivieren sollten. Ich habe sogar eine Kurs auf LinkedIn Lernen Sie mehr über GitHub Advanced Security für den Fall, dass Sie mehr darüber erfahren möchten.
Was ist GitHub Secret Scanning?
Heimliches Scannen ist Teil des GitHub Advanced Security-Angebots, wenn Sie ein GitHub Enterprise-Konto haben, aber für öffentliche Repos ist es kostenlos zu verwenden (und standardmäßig aktiviert). GitHub scannt das Repository (vollständiger Verlauf) und die Inhalte von Issues und Pull Requests, um zu sehen, ob es ein Geheimnis entdeckt. Die Erkennung erfolgt auf der Grundlage einer Reihe regulärer Ausdrücke, die von den Partnern von GitHub, die Geheimnisse scannen, zur Verfügung gestellt werden (mehr als 100, Tendenz steigend). Wenn ein Geheimnis entdeckt wird, benachrichtigt GitHub sowohl den Eigentümer des Repository als auch den Partner, der das Geheimnis überprüft. Je nach Kontext (z.B. öffentliches Repository oder nicht) kann der Secret Scanning Partner entscheiden, das Geheimnis sofort zu widerrufen, was die meisten Partner meiner Meinung nach auch tun.
Diese Funktion ist so gut und schnell, dass ich während meiner Schulungen routinemäßig meine persönlichen GitHub-Zugangstoken in GitHub-Fragen poste, um die Leistungsfähigkeit des geheimen Scannens zu zeigen. In der Regel habe ich bereits eine E-Mail und ein widerrufenes Token, bevor ich zu Ende erklärt habe, was im Hintergrund passiert.
Foto von Kristina Flour auf Unsplash.
Analysieren Sie die Aktions-Repositories.
In meinem GitHub Actions Marktplatz-Scan habe ich die Repositories von 14k Actions in eine Organisation geforkt, so dass ich den Secret-Scan aktivieren und sehen kann, was ich vom Secret-Scan zurückbekomme. Da alle Action Repositories auf dem Marktplatz öffentlich sind, wurde jedes gefundene Geheimnis schon einmal gefunden. Ich gehe also davon aus, dass alle diese Geheimnisse bereits widerrufen wurden.
Gesamtergebnisse: Es wurden [1353] Geheimnisse für die Organisation in [1110] Repositories gefunden (von 13954 gescannten Repos). Hier ist eine Top 15 der am häufigsten gefundenen Geheimnisse, um zu sehen, was gefunden wird:
Geheime Scanning-Warnungen
| Typ des Alarms | Zählen |
|---|---|
| GitHub App Installation Zugriffstoken | 692 |
| Azure Storage Konto Zugangsschlüssel | 155 |
| GitHub Personal Access Token | 120 |
| Amazon AWS Geheimer Zugangsschlüssel | 50 |
| Plivo Auth ID | 40 |
| Amazon AWS Zugangsschlüssel-ID | 40 |
| Google API-Schlüssel | 34 |
| Slack API Token | 31 |
| Slack Eingehende Webhook-URL | 27 |
| Atlassian API Token | 22 |
| Plivo Auth Token | 16 |
| GitHub SSH Privatschlüssel | 12 |
| Amazon AWS Session Token | 12 |
| HashiCorp Tresor Service Token | 11 |
| PyPI API Token | 10 |
Angesichts all der Nachrichten, die in letzter Zeit über das Austreten von Anmeldedaten und böswillige Akteure, die diese Geheimnisse nutzen, um böse Dinge zu tun, berichtet wurden, halte ich es für sehr wichtig, das geheime Scannen in Ihren Repositories zu aktivieren! Diese Daten zeigen die Stärke von GitHub und seinen Partnern für das Scannen von Geheimnissen.
Analysieren der Ergebnisse
Ich wollte diese Ergebnisse erhalten, um ein Gefühl für die Menge der Dinge zu bekommen, die beim Scannen von Geheimnissen gefunden werden. Meiner Meinung nach haben die Betreuer dieser Aktionen ein hohes Maß an Verständnis für Git und GitHub, so dass Sie eine relativ geringe Anzahl von gefundenen Geheimnissen erwarten würden. Dennoch: 1110 Repositories von 13954 Repos sind 7,9% aller Repos, in denen Geheimnisse gefunden wurden. Dies zeigt, wie leicht es ist, versehentlich Geheimnisse in ein Repository zu übertragen. Sogar in meinen eigenen Repos wurde ein Geheimnis gefunden (sogar ein GitHub Personal Access Token), das ich versehentlich in eine Umgebungsdatei übertragen habe! Und das, während ich Leute in diesen Dingen unterrichte!
Ich denke, dass dies eine gute Zahl ist, die ich meinen Studenten und Kunden zeigen kann, um sie davon zu überzeugen, dass sie die geheime Überprüfung ihrer Repositories aktivieren sollten. Selbst Leute mit einem hohen Maß an Verständnis werden immer noch Fehler machen und Geheimes Scannen hilft Ihnen dabei, indem es sie bei jeder Änderung an Ihrem Repository für Sie findet.
Verfasst von
Rob Bos
Rob has a strong focus on ALM and DevOps, automating manual tasks and helping teams deliver value to the end-user faster, using DevOps techniques. This is applied on anything Rob comes across, whether it’s an application, infrastructure, serverless or training environments. Additionally, Rob focuses on the management of production environments, including dashboarding, usage statistics for product owners and stakeholders, but also as part of the feedback loop to the developers. A lot of focus goes to GitHub and GitHub Actions, improving the security of applications and DevOps pipelines. Rob is a Trainer (Azure + GitHub), a Microsoft MVP and a LinkedIn Learning Instructor.
Contact