ggshield:查找并修复基础设施即代码错误配置和硬编码密钥
2024-10-1 00:0:55 Author: www.freebuf.com(查看原文) 阅读量:2 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

关于ggshield

ggshield是一款针对基础设施及代码的安全检测工具,该工具支持查找并修复 400 多种类型的硬编码敏感数据和 70 多种类型的基础设施即代码配置错误。

ggshield是一个在你的本地环境或 CI 环境中运行的 CLI 应用程序,可帮助你检测 400 多种类型的秘密,以及影响代码库的其他潜在安全漏洞或策略中断。

ggshield通过py-gitguardian使用我们的公共 API来扫描和检测文件和其他文本内容中的潜在漏洞。

使用ggshield进行的扫描仅存储调用时间、请求大小和扫描模式等元数据,因此秘密和策略违规事件不会显示在你的仪表板上,并且你的文件和秘密也不会被存储。

工具要求

Python 3.8+

git

Docker

pip

工具安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/GitGuardian/ggshield.git

然后切换到项目目录中,使用工具安装脚本完成工具安装即可:

cd ggshield

python3 ./setup.py

HomeBrew安装

$ brew install gitguardian/tap/ggshield

发布版本安装

我们还可以访问该项目的【发布页面】下载对应操作系统版本的ggshield。

pipx安装

从 PyPI安装ggshield的推荐方法是使用pipx,它将把它安装在隔离的环境中:

$ pipx install ggshield

要升级,请运行:

$ pipx upgrade ggshield

工具使用

敏感信息

我们可以使用ggshield来搜索敏感信息:

在文件中:ggshield secret scan path -r .

在存储库中:ggshield secret scan repo .

在 Docker 镜像中:ggshield secret scan docker ubuntu:22.04

在 Pypi 包中:ggshield secret scan pypi flask

还有更多,请查看ggshield secret scan --help输出了解详情。

基础设施即代码安全 (IaC)

还可以使用以下命令在 IaC 文件中搜索安全问题:

ggshield iac scan all .

但是,如果你只对新的潜在 IaC 安全问题感兴趣,可以运行:

ggshield iac scan diff --ref=HEAD~1 .

输出结果

许可证协议

本项目的开发与发布遵循MIT开源许可协议。

项目地址

ggshield:【GitHub传送门

参考资料

https://gitguardian.com/

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/sectool/412163.html
如有侵权请联系:admin#unsafe.sh