Was working with GitLeaks this morning, when it failed to find over 20 secrets in a git repo.
Here are examples of what it didn't find:
INDEXER_PASSWORD=SecretPassword
INDEXER_PASSWORD=SecretPassword
API_PASSWORD=MyS3cr37P450r.*-
DASHBOARD_PASSWORD=kibanaserver
That is EXTREMELY disappointing! These are pretty obvious secrets!
J'ai publié un #playground pour améliorer ma maitrise de #Gitleaks : https://notes.sklein.xyz/2025-05-07_2353/
Что помогает разработчику писать безопасный код: обзор инструментов
Современное производство программного обеспечения — сложный процесс, от разработчика требуется не только писать код, но и справляться с целым комплексом сопутствующих задач: отслеживать изменения, проводить тестирование, соблюдать стилистические правила и внутренние стандарты, учитывать безопасность и применять best practices по обеспечению ИБ уже во время написания кода. Но есть и хорошие новости. Разработчику доступно большое число инструментов, которые упрощают труд: от линтеров до анализаторов и систем автоматизированного тестирования — все они встраиваются в среду разработки и помогают решать сложные задачи, не отвлекаясь от творческой части работы. В этой статье я, Евгений Иляхин, архитектор процессов безопасной разработки в Positive Technologies, как раз расскажу о крайне полезных инструментах, которые автоматизируют рутину и повышают качество кода, позволяя программисту сосредоточиться на разработке новой фичи или поиске оптимального решения. Читать
https://habr.com/ru/companies/pt/articles/891400/
#безопасная_разработка #appsec #devsecops #sonarlint #semgrep #gitleaks #gitsecret #trivy #secret_scanner #owasp_zap
#Gitleaks: Secret Detection for Code Repositories 🔐
Comprehensive #security scanning tool:
• 🔍 Detects passwords, API keys in #git repos & files
• 🚀 Install via #Homebrew, #Docker, or source code
• 🔄 Integrates as #GitHub Action or #precommit hook
🧵👇#DevOps
Always in my #blog (boosted by @writefreely via @pylapp@write.as) :
"Some words about secrets leaks in Git repositories"
#opensource #GitHub #VieDeDev #FLOSS #Gitleaks
https://write.as/pylapp/some-words-about-secrets-leaks-in-git-repositories
Поиск секретов в программном коде (по энтропии)
Недавно в открытом доступе появился новый инструмент для поиска приватной информации в открытом коде. Это Entropy — утилита командной строки, которая сканирует кодовую базу на предмет строк с высокой энтропией. Предположительно, такие строки могут содержать секретную информацию: токены, пароли и др. Подход логичный. Пароли и токены — это по определению строки с высокой энтропией, поскольку они создаются с помощью генераторов случайных или псевдослучайных чисел. Символы в такой последовательности в идеале непредсказуемы.
https://habr.com/ru/companies/globalsign/articles/838438/
#энтропия #Entropy #теория_информации #информационная_энтропия #шенноны #хартли #биты_энтропии #поиск_секретов #учётные_данные #TruffleHog #detectsecrets #Semgrep_Secrets #pyWhat #Nosey_Parker #tartufo #gitleaks #ggshield
Поиск секретов в программном коде (по энтропии)
Недавно в открытом доступе появился новый инструмент для поиска приватной информации в открытом коде. Это Entropy — утилита командной строки, которая сканирует кодовую базу на предмет строк с высокой энтропией. Предположительно, такие строки могут содержать секретную информацию: токены, пароли и др. Подход логичный. Пароли и токены — это по определению строки с высокой энтропией, поскольку они создаются с помощью генераторов случайных или псевдослучайных чисел. Символы в такой последовательности в идеале непредсказуемы.
https://habr.com/ru/companies/globalsign/articles/836622/
#энтропия #Entropy #теория_информации #информационная_энтропия #шенноны #хартли #биты_энтропии #поиск_секретов #учётные_данные #TruffleHog #detectsecrets #Semgrep_Secrets #pyWhat #Nosey_Parker #tartufo #gitleaks #ggshield
