La codificación de proyectos de cifrado es bastante difícil sin correr el riesgo de perder sus claves privadas. Shhgit, una aplicación web y herramienta descargable de Paul Price apunta al menos a reducir la posibilidad de que eso suceda.
La aplicación, que es de código abierto, escanea el repositorio de código GitHub en busca de archivos y datos peligrosos. Como codificador principiante, es posible que haya dejado sus datos de contraseña o claves privadas dentro del repositorio público sin darse cuenta. Cuando esto sucede, los piratas informáticos y otras personas desagradables pueden acceder fácilmente a sus cosas.
"Encontrar estos secretos en GitHub no es nada nuevo", escribió Price, un programador y experto en seguridad que se hace cargo del control Darkport . “Hay muchas herramientas de código abierto disponibles para ayudar con esto dependiendo de qué lado de la cerca se siente. En el lado del adversario, las herramientas populares como gitrob y truggleHog se centran en investigar el historial para encontrar tokens secretos de repositorios, usuarios u organizaciones específicos ”.
Sshgit es más público sobre estos secretos: ofrece un front-end que simplemente los muestra tal como aparecen en GitHub. Esto significa que los piratas informáticos podrían estar atentos a posibles lugares para explotar. Pero también fomenta la codificación segura porque los usuarios saben que sus repositorios públicos son inseguros.
No todo lo que sshgit descubre es información peligrosa, pero también puede configurarlo para buscar firmas que le interesen particularmente, como, por ejemplo, las direcciones de billetera ethereum .
Como alguien que una vez confió las claves privadas para una billetera Bitcoin a una cuenta pública de GitHub, déjame decirte: podría haber usado esto hace unos años.
El producto es gratis, descargable aquí . Price está buscando patrocinadores para pagar el alojamiento porque, como puedes imaginar, su tráfico es bastante alto a medida que la gente busca secretos.
(Captura de pantalla a través de shhgit) Imagen de Keys a través de Shutterstock
[DISPLAY_ULTIMATE_PLUS]
Referencia: https://www.coindesk.com/new-tool-will-find-secrets-including-crypto-keys-in-your-public-code