Kingfisher: анализ секретов от…

Всем привет!

… MongoDB! Да, все так! История о том, как pet-проект превратился в один из основных компонентов анализа наработок компании.

Автор использовал разные open source сканеры для поиска секретов. И во всех из них его «что-то не устраивало»: скорость анализа, количество false positive, ограниченная возможность настройки и т.д.

Решение очевидно – сделать свое! Так и родился Kingfisher.

Из ключевых особенностей можно отметить:
🍭 Высокая скорость работы
🍭 Анализ Git Repo (Remote/Local), истории commit’ов, файловых систем
🍭 Функциональность валидации секретов (например, через отправку API запросов)
🍭Локальная установка и использование, данные «никуда не передаются»
🍭 «Внутри» используются разные типы анализа: pattern matching, энтропия, поддержка некоторых языков программирования для обогащения/уточнения результатов

Больше информации об утилите можно найти в статье. Там также присутствует статистика по скорости работы Kingfisher в сравнении с Trufflehog и GitLeaks.

А если вам ближе подход «зачем читать, если можно позапускать», то repo проекта можно найти тут.

DevSecOps Talks

Kingfisher: анализ секретов от…

Всем привет!

… MongoDB! Да, все так! История о том, как pet-проект превратился в один из основных компонентов анализа наработок компании.

Автор использовал разные open source сканеры для поиска секретов. И во всех из них его «что-то не устраивало»: скорость анализа, количество false positive, ограниченная возможность настройки и т.д.

Решение очевидно – сделать свое! Так и родился Kingfisher.

Из ключевых особенностей можно отметить:
🍭 Высокая скорость работы
🍭 Анализ Git Repo (Remote/Local), истории commit’ов, файловых систем
🍭 Функциональность валидации секретов (например, через отправку API запросов)
🍭Локальная установка и использование, данные «никуда не передаются»
🍭 «Внутри» используются разные типы анализа: pattern matching, энтропия, поддержка некоторых языков программирования для обогащения/уточнения результатов

Больше информации об утилите можно найти в статье. Там также присутствует статистика по скорости работы Kingfisher в сравнении с Trufflehog и GitLeaks.

А если вам ближе подход «зачем читать, если можно позапускать», то repo проекта можно найти тут.

MongoDB

Introducing Kingfisher: Real-Time Secret Detection and Validation | MongoDB Blog

Discover Kingfisher, MongoDB’s open-source tool for security and DevOps engineers to detect and validate exposed secrets in code and repositories.

👍5

hottg.com/devsecops_weekly/1255

1.71K viewsJul 4 at 04:23