GitGuardian Nedir?
Herkese selamlar,
İki gün önce Github üzerinde ki bir projemi güncellerken güvenlik ile alakalı bir mail bildirimi aldım. Konu güvenlik ile alakalı olunca GitGuardian dikkatimi çekti ve derinden incelemeye başladım. Biraz araştırdıktan sonra hoşuma giden bu aracı sizinle paylaşmak istiyorum..
GitGuardian Nedir?
Github, GitLab, Azure vb. platformlarında ki paylaştığınız projelerin güvenlik açıklarını sizlere bildiren bir geliştirici aracıdır. Örneğin Github üzerinde Public olarak paylaştığınız bir projede ConnectionString’i değiştirmeyi unutup, commit’i gönderdiniz. GitGuardian bu konuda devreye giriyor ve proje üzerinde ki ConnectionString, Api-Key&Token, Sertifika vb. key-value’leri kontrol edip sizleri güvenlik konusunda uyarıyor.
GitGuardian’ı Nasıl Kullanabilirim?
GitGuardian.com üzerinden ‘Sign up with Github’ seçeneği ile github hesabınızı eşleştirebilir veya üyelik formunu doldurup üye olabilirsiniz. Üyeliğinizi tamamladıktan sonra isterseniz tek bir projenizi, isterseniz tüm projelerinizin güvenlik açıklarını kontrol ettirtebilirsiniz.
*Üyeliğinizin son aşamasında ‘All Repositories’ seçeneğine tıkladığınızda tüm projelerinizi taramaya başlayacaktır.
Tüm projelerime baktığımda Public olarak paylaştığım RPG projesinde 3 tane riskli durumun olduğunu belirtiyor içine girip sorunun neden kaynaklandığını birlikte inceleyelim.
Generic High Entropy Secret sorunun üstüne tıklayıp, içine girdiğimde ;
CommandLineArgumentsTests.cs içinde paylaşmış olduğum accessTokenValue key’imin açık olduğunu ve gizlemem gerektiğini belirtiyor.
Sizde kendi projelerinizde ki güvenlik açıklarını tespit edip, projenizi güncelleyebilirsiniz.
GitGuardian hangi platformlarda kullanılabilir?
- Azure
- Github
- Gitlab
- Bitbucket
- Circle
- Drone
- Jenkis
- Travis
Uyarı bildirimlerini entegre edebiliyor muyuz?
GitGuardian bildirimlerini Discord, Slack, Pager Duty, Splunk ve özel entegrasyonlarla dışarıya aktarmanız mümkün. bknz: Dökümantasyonlar
Umarım konunun sizlere faydası olmuştur.
Bir başka makalede görüşmek üzere..
