Axur ofrece una solución especializada en la detección de claves de código (tokens, contraseñas, archivos de configuración críticos) expuestas en códigos o commits públicos en GitHub, con menciones a los dominios de la empresa contratante. Este artículo proporcionará información detallada sobre cómo esta funcionalidad trabaja para proteger la información esencial de nuestros clientes.
¿Qué hace la oferta?
Identifica claves de código expuestas que pueden contener información crítica sobre el cliente.
Utiliza información como domain.com.br y br.com.domain para buscar datos expuestos.
Presenta la línea exacta donde se encontró la clave (al hacer clic en la ocurrencia, lleva directamente a la línea en el código en GitHub).
Indica el tipo específico de clave de código encontrada.
Detecta claves de código en nuevos commits.
¿Qué no hace la oferta?
Otras Plataformas Git:
No detecta claves de código en otras plataformas Git, como Gitlab y Bitbucket.
Historial de Commits en GitHub:
No detecta claves de código en historiales de commits (antes de la creación de colecciones) en GitHub.
Repositorios Voluminosos:
No detecta claves de código en repositorios con más de 35 MB comprimidos y 100 MB descomprimidos.
Repositorios Inactivos:
No detecta claves de código en repositorios sin commits en los últimos 365 días.
Puntuación de Riesgo:
No presenta una puntuación de riesgo asociada a la clave expuesta, encontrada en repositorios con menciones a los dominios del cliente (los tickets tienen un nivel de riesgo de 0 a 50, pero las claves no tienen niveles de riesgo individuales).
Archivos .ZIP:
No detecta claves de código dentro de archivos .ZIP.
¿Qué es una infracción en GitHub?
Tenemos un artículo detallando las políticas de GitHub. Accede a GitHub — ¿Qué es una infracción?
Creación Manual de Tickets en la Oferta de Exposición de secreto en código
Si es necesario crear manualmente un ticket en la plataforma para informar sobre Exposición de secreto en código, el proceso es similar a otras ofertas y se puede consultar en el artículo “Adición manual de tickets”.
¡Atención! Antes de crear un ticket, realice una búsqueda en la plataforma para identificar posibles tickets ya creados para el caso. Para obtener más información, consulte el artículo “Búsqueda Manual de Tickets”.
Acceda a la sección de Fugas de Datos.
En el lado derecho, haga clic en el botón “+ Añadir Ticket”.
Seleccione el activo relacionado con la infracción.
Elija el tipo de ticket “Exposición de secreto en código”.
Ingrese la URL. Si hay más de una URL, seleccione la opción “Crear más de un ticket”.
Haga clic en la opción “+ Añadir”.
¡Listo! Ha completado la creación del ticket del tipo Exposición de secreto en código. \o/
¡Atención! Después de crear un ticket por exposición de una clave de código, es obligatorio incluir evidencias que muestren qué clave fue expuesta en la URL proporcionada. Para obtener más información sobre cómo agregar evidencias a un ticket, consulte el artículo “Cómo agregar evidencias en los tickets”.
Si tienes cualquier duda, puedes contactarnos en [email protected] 😊