GitMonitor是一款針對(duì)GitHub的掃描系統(tǒng)，在它的幫助下，研究人員可以輕松掃描出目標(biāo)GitHub庫(kù)中存在的敏感信息。 該工具基于規(guī)則實(shí)現(xiàn)其功能，GitMonitor使用了兩套不同的規(guī)則集來尋找目標(biāo)信息。搜索規(guī)則將會(huì)搜索目標(biāo)代碼庫(kù)，并尋找跟組織或內(nèi)部項(xiàng)目相關(guān)的信息，而敏感過濾規(guī)則將會(huì)判斷目標(biāo)代碼庫(kù)是否存在敏感信息。最后，工具還將通過Slack向用戶發(fā)送掃描報(bào)告。你還可以將GitMonitor配合Cronjob一起使用，來監(jiān)控目標(biāo)兄臺(tái)那個(gè)并追蹤相關(guān)的泄露在GitHub中的敏感信息，最后通過Slack接收掃描結(jié)果。 功能介紹 1、基于規(guī)則（搜索規(guī)則）搜索目標(biāo)代碼庫(kù)，你也可以編寫自定義規(guī)則來搜索跟自己組織或企業(yè)相關(guān)的代碼庫(kù)，匹配規(guī)則的代碼庫(kù)將會(huì)直接被克隆至本地。 2、使用正則表達(dá)式（敏感過濾規(guī)則）將搜索已克隆至本地的代碼庫(kù)中的敏感信息，并進(jìn)行分類。 3、通過Slack發(fā)送掃描報(bào)告。 4、規(guī)則和正則表達(dá)式單獨(dú)定義。 5、用戶可以輕松自定義規(guī)則和正則表達(dá)式。 工具運(yùn)行機(jī)制

工具要求 Python3 Python3-pip 目前該工具已在Ubuntu 18.04系統(tǒng)上測(cè)試。 工具安裝 首先，使用下列命令將項(xiàng)目源碼克隆至本地： git clone https://github.com/Talkaboutcybersecurity/GitMonitor.git 安裝依賴組件： Python3 -m pip install -r requirements.txt 確保你的設(shè)備上已經(jīng)安裝了Pyyaml v5x或更高版本。 接下來，在配置文件config.ini中填寫所需的信息： [git] user = <username_git> pass = <password_git> url_code = https://api.github.com/search/code?q={}+in:file&sort=indexed&order=desc url_repos = https://api.github.com/search/repositories?q={}+size:>0+is:public&sort=indexed&order=desc url_commit = https://api.github.com/search/commits?q={}+is:public&sort=indexed&order=desc rpp = 50 [slack] webhooks = <full_link_webhooks> [path] rule = <path to rule folder> source = <path to folder to clone repository> log = <filename of log> [msg] start = ====================**********==================== *Start scanning at {}* _Clone completed successfully:_ end = ====================**********==================== *Scanning Done at {}* _Detected possible repository:_ all = ====================**********==================== 編寫自定義搜索規(guī)則，并將規(guī)則放入規(guī)則字典中： id: Project_X_Matching key: X language: - java #filename: # - LICENSE #extension: # - py # - md ignore: # language: # - php filename: - LICENSE extension: - html - txt 接下來，在敏感過濾規(guī)則文件libs/regex.py中定義正則表達(dá)式，并運(yùn)行下列命令： Python3 gitmonitor.py 你還可以使用Cronjob來自動(dòng)化運(yùn)行GitMonitor（計(jì)劃任務(wù)）。 項(xiàng)目地址 GitMonitor：【GitHub傳送門】 來源：EEPW

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。