X9 : Resultados Digitais가 민감한 정보를 자동으로 감지하는 방법 코드 리포지토리의 데이터

(Vitoria Rio) (2020 년 10 월 9 일)

회사가 커짐에 따라 지속적으로 증가하는 기능으로 개발자는 새로운 코드를 커밋, 풀 리퀘스트로 지속적으로 만들고 통합합니다. 등. 애자일 방법론의 인기가 높아지면서 취약성 분석을위한보다 빠른 속도의 솔루션이 필수가되고 있습니다. 코드가 리포지토리에 커밋 되 자마자 커밋에 민감한 정보가 포함되어 있으면 결국 데이터 유출로 이어질 수 있으므로 즉시 처리해야합니다.

하지만 수백 개의 커밋 및 풀 리퀘스트는 숙련 된 보안 엔지니어 팀에게도 쉬운 작업이 아닙니다. X9가 바로 여기에 있습니다. X9는 조직의 GitHub 리포지토리에서 민감한 정보의 탐지를 자동화하기 위해 만들어진 오픈 소스 도구입니다. 거의 실시간으로 Slack을 통해 코드를 자동으로 분석하고 알림을 생성 할 수 있습니다.

아키텍처

Github를 사용하면 Github Webhooks

를 사용하여 커밋 및 pull 요청과 같은 여러 이벤트를 읽을 수 있습니다. a>. 예를 들어 개발자가 PR을 생성하면 Github 플랫폼에 이벤트가 생성 된 다음 해당 이벤트에 대한 자세한 정보가 포함 된 미리 구성된 경로 (이 경우 X9 인터페이스)로 메시지 페이로드를 보냅니다. 이 접근 방식은 Github를 통해 전체 조직에 대한 웹훅을 구성하여 X9가이 범위의 모든 저장소를 분석 할 수 있다는 점을 고려할 때 가장 잘 작동합니다.

전체 조직에 대한 이벤트를 구성함으로써 X9는이를 보장 할뿐만 아니라 모든 저장소가 분석되지만 분석 프로세스를 간소화하여 보안 엔지니어에게 회사의 잠재적 인 보안 위협을 더 유연하게 제어하고 제어 할 수 있습니다.

이벤트 페이로드를 수신하면 앱은 저장소의 브랜치를 복제하고 여러 보안을 수행합니다. 테스트. 각 이벤트는 더 높은 처리량의 경우 확장 할 수있는 독립 작업자에 의해 처리됩니다. 스캔 된 모든 취약점은 PostgreSQL 데이터베이스에 저장되고 Slack 채널에 알려집니다. Slack 인터페이스를 사용하면 Github에서 직접 문제를 생성하거나 취약점을 오 탐지로 표시 할 수 있습니다.

분석

X9는 코드에서 민감한 데이터를 감지하기 위해 특정 서명과 패턴을 사용합니다. 이러한 서명은 개인 이메일을 감지 할 수있는 r"[a-zA-Z0-9]*\@emailexample.com" 또는 파일 콘텐츠 내에서 AWS 액세스 키를 감지하는 다음과 같은 특정 목적에 맞게 조정 된 정규 표현식입니다 (추가적으로 정의 됨).

이 애플리케이션을 사용하면 사용자가 좀 더 도메인 지향적 인 접근을 가능하게하는 정규 표현식. X9에는 네 가지 유형의 서명 컨텍스트가 있습니다.

  • 파일 이름 : 전체 파일 이름을 검색합니다.
  • 확장자 : 특정 확장자 검색 (예 : .pem, .db)
  • 경로 : 저장소에있는 파일의 미리 결정된 폴더의 전체 경로를 검색합니다.
  • contents : 파일 내 패턴 검색

알림 및 작업

Slack Webhooks 를 통해 X9는 각 결과에 대한 자세한 정보를 사용자 정의 채널로 보냅니다. 민감한 정보는 다음과 같이 적절하게 난독 처리된다는 점에 유의해야합니다.

대화 형 구성 요소 ( 미해결 문제 False Positive 버튼)을 사용하면 GitHub에서 직접 문제를 생성 할 수 있으며 취약점을 각각 오 탐지로 무시할 수 있습니다. 메시지에서 문제를 생성해야하는 경우 취약한 저장소에 다음 문제 형식이 생성됩니다.

대시 보드

X9에는 취약성 시각화를위한 대시 보드도 있습니다. 이 대시 보드는 보안 분석을 방해하지 않는 별도의 선택적 애플리케이션입니다. 로그인 인증을 위해 OpenID Connect 를 사용합니다.

대시 보드는 저장소 이름 및 취약성 유형별로 필터링 할 수있는 테이블보기입니다. 생성 된 경우 문제의 링크도 표시됩니다.

최종 생각

X9는 아직 작업 중이며 적극적으로 업데이트 중입니다. 참여를 환영합니다.

github.com/ResultadosDigitais/에서 확인하세요. x9 .

참조

이 프로젝트는 Shhgit 및 Gitleaks 는 대부분의 서명과 분석 전략을 제공했습니다.