GitGuardian 发布了一个工具,帮助公司发现他们的开发人员在公共 GitHub 上泄露了多少秘密,包括与公司相关的和个人的秘密。即使您的组织不参与开源,您的开发人员或分包商也可能无意中泄露其个人 GitHub 仓库上的敏感信息。想想公司机密或源代码——一个重大的风险警报!输入您的域名并获得有价值的指标,例如在 GitHub 上公开泄露的秘密数量和有效秘密的数量。审计中包含的数据已扫描的提交:GitHub 上的所有活动都链接到提交电子邮件。GitGuardian 可以将此类提交电子邮件绑定到 GitHub 帐户,从而监控该帐户的活动。您边界内的活跃开发人员:在其 GitHub 个人资料中提及您的公司名称的开发人员,或在 GitHub 上公开推送代码时使用其公司电子邮件地址的开发人员。在 GitHub 上公开泄露的机密:机密是授予系统或数据访问权限的数字身份验证凭据。这些通常是 API 密钥或用户名和密码。在 GitHub 上公开可用的有效机密:仍可能被恶意人员利用的机密。按类别划分的机密细分:每个类别的机密泄露百分比(例如。私钥、版本控制平台、云提供商、消息系统、数据存储等)。在提交中直接提及您的公司:在提交的代码中提及您的公司域的提交。涉及至少一个秘密泄露的开发人员:您外围的开发人员至少泄露了一个秘密。敏感文件中包含的机密:在本身敏感的文件(如配置文件)中发布的机密。公共事件:当私有仓库公开时,将发生公共事件。此类事件是敏感的,因为它泄露了存储库的整个历史记录,可以在其中找到敏感数据。从 GitHub 中删除的秘密:在 GitHub 上无法再找到,但已被泄露并可以在 GitHub 档案中找到的秘密。GitGuardian 的秘密检测引擎自 2017 年以来一直在生产环境中运行,分析来自 GitHub 的数十亿次提交。算法和检测器不断针对 40 亿次提交的数据集进行训练。最新的 2024 年机密状态蔓延显示,2023 年在 GitHub 上暴露了 1280 万个新机密事件。GitGuardian 可以通过首先识别在 GitHub 上活跃的开发人员来告诉您有多少泄漏与您的公司有关。即使您的组织不参与开源,您的开发人员或分包商也可能无意中泄露其个人 GitHub 仓库上的敏感信息。这包括公司机密或源代码,构成重大风险。审核生成的分数范围从 A 到 E。此分数考虑了检测到的硬编码密钥的数量、泄密者的数量(至少泄露了一个密钥的开发人员)以及过去三年中您范围内的开发人员数量。公司按其开发人员数量进行分组,以便进行公平的比较。
