GITLEAKS NEDİR? NASIL KULLANILIR?
Gitleaks, git depolarındaki parolalar, api anahtarları ve token gibi hardcoded bilgileri algılamak için bir SAST aracıdır. Gitleaks kodunuzda geçmiş veya şimdiki hassas ve gizli bilgileri bulmak için kullanımı kolay, hepsi bir arada çözüm olmayı hedefliyor.
https://github.com/zricethezav/gitleaks linkinden erişilebiliyor.
GITLEAKS KURULUMU NASIL YAPILIYOR?
GitLeaks’i MacOS ya da Docker üzerinde çalıştırabilir ya da direkt GO ile kurulumu gerçekleştirebilirsiniz.
MacOS:
brew install gitleaks
Docker:
docker pull zricethezav/gitleaks
Go:
GO111MODULE=on go get github.com/zricethezav/gitleaks/v4
GITLEAKS NASIL KULLANILIR?
Hassas bilgi aramak istediğiniz repository’nin URL’ini parametre olarak vermeniz yeterli olacaktır.
Araç, sızıntı olup olmadığını ve varsa kaç tane olduğunu bulacaktır. Bunun için aşağıdaki komut kullanılabilir:
$ gitleaks –repo=
Verileri görebilmek için aşağıdaki komut kullanılabilir:
$ gitleaks –repo= –verbose –pretty
Kullanılabilecek olan diğer komutlar ve parametreler ise –help ile görüntülenebilmektedir:
$ gitleaks –help
Araç, temel olarak repository den kolanladığı kodları okuyup, belirli bir pattern (Email adresi, AWS Key, SSH Key gibi..) ‘e uyması durumunda hassas veri olarak algılamaktadır.
Bunun için kendi kurallarınızı oluşturabilirsiniz. Bunun için; https://github.com/zricethezav/gitleaks/wiki/Configuration adresini inceleyebilir ve örnek kuralları görebilirsiniz.
Kodlarınızı bir repository ‘e göndermeden önce mutlaka uygulamanıza ya da kuruluşunuza ait hassas olabilecek verilerden arındırılmış olduğuna emin olun.
.gitignore dosyası kullanarak repository ‘e göndermek istemediğiniz dosyaları, dosya uzantıları ya da dizinleri belirtebilirsiniz.