NTRODUCCIÓN

 Los escaneos pueden ser automatizados para que encajen perfectamente en el flujo de trabajo de CI/CD para la identificación de secretos antes de que se profundice en la base de código.

CARACTERÍSTICAS GITLEAKS

  • Escaneo para commited Secrets.
  • Escaneo para uncommited Secrets, parte del Shift to the Left.
  • Despinible Github Action
  • Gitlab & Github Soporte API.
  • Reglas de Configuracion Basadas en TOML & Regex.
  • Alta performance basada en go-git.
  • JSON & CSV Output.
  • Escaneo de Repositorios Privados.

INSTALACIÓN

Descargamos el release para nuestro Sistema Operativo. En mi caso lo voy a realizar sobre Ubuntu, donde tengo Jenkins. Aca el link.

Shell
 
 

Vamos a correrlo sobre dos repositorios publicos. Uno con Leaks y otro sin.

Leaks

Gitleaks proporciona códigos de salida consistentes para ayudar a automatizar los flujos de trabajo, como las plataformas CI/CD y el escaneo en masa.

Shell
 

Vamos a colgarlo de nuestro Pipeline de Jenkins. Aqui mi Clone a GitHub.

GitHub Clone Jenkins

Agregamos un paso apenas salimos de la clonacion. El análisis podemos hacerlo local o contra el repositorio. Para que quede, mejor, graficado lo hare contra el repositorio.

Linea de Comando

Donde dice 0, cambiamos por 1. Si la salida es 1, de GitLeaks, abortar el CI. ¡Vamos a ver que pasa!

Jenkins Job Failure

Como ven nuestro CI fallo, debido a la salida = 1. Haciendo que el Pipeline no continue.

¡Espero que les sirva! Es algo rapido que nos ayuda a que nuestros Dev’s & DevOps no compartan, sin querer, las llaves del Reino.

Algo muy interesante es agregar pre-commit-hook agregando lo siguiente en esta ruta del repositorio <repo>/.git/hooks/pre-commit:

Shell
 
 

Ahora antes de realizar un Commit, se revisara.

¡Espero les sirva y puedan sacarle provecho!

REFERENCIAS

https://github.com/zricethezav/gitleaks

https://githooks.com/

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

compartir en ....
Avatar

Acerca de Brian Alexander Diaz

Brian Alexander Diaz Investigador en temas de seguridad y Devops Mi nombre es Brian Alexander Diaz. El objetivo de este blog es promover la cultura y mentalidad en seguridad por todo el Internet y que la gente aprenda a facilitar su vida y crear  sistemas mas seguros .

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *