攻击者继续使用自动化软件来爬网,以查找AWS凭据并将EC2实例旋转到挖掘比特币或其他令人邪恶的目的。虽然采用了这样的工具git-crypt和黑箱为了安全地存储诸如密码和访问代码等代码存储库中的秘密正在增加,仍然是全部常见的秘密未受保护。看到开发人员的个人存储库意外检查的项目秘密也不罕见。Gitrob可以帮助最小化暴露秘密的损害。它扫描组织的GitHub存储库,标记可能包含不应该被推到存储库的敏感信息的所有文件。该工具的当前版本有一些限制:它只能用于扫描公共Github组织和他们的成员,它不会检查文件的内容,它不会审查整个提交历史记录,它完全扫描所有存储库每次运行。尽管有这些限制,它可能是一个有用的反应工具,可以帮助在为时已晚之前提醒球队。它应该被认为是一个互动工具的互动方法,如护符。