Sikkerhet

Hemmelighetsskann i kode og historikk

Leter etter passord, API-nøkler og tokens som ved et uhell er sjekket inn i kildekoden — også dypt i git-historikken der de ligger igjen selv etter at de er «slettet».

Krever kildekode: Ja

Krever tilgang til kildekoden. For et leverandørlåst system må leverandøren kjøre den.

Hva den avdekker

Hardkodede hemmeligheter i kode, konfigurasjonsfiler og gamle commits. En nøkkel som lå i historikken i et halvt år er kompromittert selv om den er fjernet fra siste versjon — den kan hentes ut av hvem som helst med tilgang til repoet.

Slik kjører du den

gitleaks skanner hele git-historikken på minutter. Kjør det, og sett det opp som en sperre som stopper nye hemmeligheter fra å bli sjekket inn. Finner du en ekte hemmelighet: bytt den ut (roter nøkkelen) — det holder ikke å bare slette den fra koden.

Slik tolker du resultatet

Ikke alt som ser ut som en nøkkel er ekte — men behandle hvert treff som ekte til det motsatte er bevist. Fallgruve: å tro at «git rm» fjerner en hemmelighet. Den ligger i historikken til den roteres.

AI-perspektiv

Kodeassistenter kan finne på å foreslå at du limer en nøkkel rett inn i koden for at «det skal virke». Det gjør hemmelighetsskann til en fast del av flyten verdt mer nå — den fanger de snarveiene som tas når noe skal virke fort.

Har dere et eksisterende system dere lurer på tilstanden til? Mange av disse analysene kan kjøres utenfra, uten å røre koden. DOPS gjennomgår ytelse, sikkerhet og teknisk gjeld i systemer dere allerede eier — og sier ærlig fra om hva som haster og hva som kan vente.

Snakk med DOPS

← Alle kodeanalyser  ·  Kravbibliotek