Gitrob

攻击者继续使用自动化软件来爬网，以查找AWS凭据并将EC2实例旋转到挖掘比特币或其他令人邪恶的目的。虽然采用了这样的工具git-crypt和黑箱为了安全地存储诸如密码和访问代码等代码存储库中的秘密正在增加，仍然是全部常见的秘密未受保护。看到开发人员的个人存储库意外检查的项目秘密也不罕见。Gitrob可以帮助最小化暴露秘密的损害。它扫描组织的GitHub存储库，标记可能包含不应该被推到存储库的敏感信息的所有文件。该工具的当前版本有一些限制：它只能用于扫描公共Github组织和他们的成员，它不会检查文件的内容，它不会审查整个提交历史记录，它完全扫描所有存储库每次运行。尽管有这些限制，它可能是一个有用的反应工具，可以帮助在为时已晚之前提醒球队。它应该被认为是一个互动工具的互动方法，如护符。

现在支持在代码存储库中的密码和访问令牌等秘密（例如越来越多的工具） - 例如，git-crypt和黑箱我们在以前的技术雷达中提到了。尽管有这些工具的可用性，但仍然是，遗留情况下，秘密的秘密都是不受保护的。实际上，自动化漏洞软件用于查找AWS凭据并将EC2实例旋转到矿山比特币，将攻击者与比特币和帐户所有者一起旋转EC2实例。Gitrob采用类似的方法并扫描组织的GitHub存储库，标记可能包含不应该被推到存储库的敏感信息的所有文件。这显然是一种反应方法。Gitrob只能在（几乎）太晚时提醒团队。因此，GITROB只能是一个互补工具，以最大限度地减少损坏。