Kingfisher: анализ секретов от…
Всем привет!
… MongoDB! Да, все так! История о том, как pet-проект превратился в один из основных компонентов анализа наработок компании.
Автор использовал разные open source сканеры для поиска секретов. И во всех из них его «что-то не устраивало»: скорость анализа, количество false positive, ограниченная возможность настройки и т.д.
Решение очевидно – сделать свое! Так и родился Kingfisher.
Из ключевых особенностей можно отметить:
🍭 Высокая скорость работы
🍭 Анализ Git Repo (Remote/Local), истории commit’ов, файловых систем
🍭 Функциональность валидации секретов (например, через отправку API запросов)
🍭Локальная установка и использование, данные «никуда не передаются»
🍭 «Внутри» используются разные типы анализа: pattern matching, энтропия, поддержка некоторых языков программирования для обогащения/уточнения результатов
Больше информации об утилите можно найти в статье. Там также присутствует статистика по скорости работы Kingfisher в сравнении с Trufflehog и GitLeaks.
А если вам ближе подход «зачем читать, если можно позапускать», то repo проекта можно найти тут.
>>Click here to continue<<
