Passar para o conteúdo principal

Exposição de Segredo em Código

Atualizado há mais de 2 meses

A Axur oferece uma solução especializada na detecção de chaves de código (tokens, senhas, arquivos de configuração críticos) expostas em códigos ou commits públicos no GitHub, com menção aos domínios da empresa contratante.

Este artigo fornecerá insights sobre como essa funcionalidade trabalha para proteger as informações essenciais de nossos clientes.

O que a oferta faz?

  • Identifica chaves de código expostas que podem conter informações críticas sobre o cliente.

  • Utiliza informações como domain.com.br e br.com.domain para procurar por dados expostos.

  • Apresenta a linha exata onde a chave foi encontrada (clicando na ocorrência, leva diretamente para a linha no código no GitHub).

  • Indica o tipo específico de chave de código encontrada.

  • Detecta chaves de código em novos commits.

O que a oferta não faz?

  • Outros Git:

    • Não detecta chaves de código em outras plataformas Git, como Gitlab e Bitbucket.

  • Histórico de Commits no GitHub:

    • Não detecta chaves de código em históricos de commits (antes da criação de coleções) no Github.

  • Repositórios Grandes:

    • Não detecta chaves de código em repositórios com mais de 35 MB compactados e 100 MB descompactados.

  • Repositórios Inativos:

    • Não detecta chaves de código em repositórios sem commits nos últimos 365 dias.

  • Pontuação de Risco:

    • Não apresenta uma pontuação de risco associada à chave exposta, encontrada em repositórios com menção aos domínios do cliente (os tickets têm um nível de risco de 0 a 50, mas as chaves não possuem níveis de risco individuais).

  • Arquivos .ZIP:

    • Não detecta chaves de código dentro de arquivos .ZIP.

O que é uma infração para o GitHub?

Temos um artigo detalhando as políticas do Github, acesse o GitHub — O que é uma infração?

Criação manual de tickets na oferta de Exposição de segredo em código

Caso seja necessário criar manualmente um ticket na plataforma para denúncias de Exposição de segredo em código, o processo é bastante semelhante a outras ofertas e pode ser consultado no artigo “Adição manual de tickets”.

Atenção! Antes de criar um ticket, faça uma busca na plataforma para identificar possíveis tickets já criados para o caso. Para mais informações, consulte o artigo “Busca Manual de Tickets”.

Primeiro, acesse a área de Vazamento de Dados.

  • No canto direito, clique no botão “+ Adicionar Ticket”.

  • Selecione o ativo relacionado à fraude.

  • Escolha o tipo de ticket “Exposição de segredo em código”.

  • Insira a URL. Se houver mais de uma URL, selecione a opção “Criar mais de um ticket”.

  • Clique na opção “+ Adicionar”.

Atenção! Após realizar a criação do ticket de Exposição de segredo em códgo, é obrigatório incluir evidências onde mostra qual segredo foi exposto na URL inserida. Para mais informações sobre como inserir evidências em um ticket, acesse o artigo Como adicionar evidências nos tickets.

Pronto, você concluiu a criação do ticket do tipo Exposição de segredo em código. \o/

A funcionalidade de detecção de chaves de código da Axur é uma camada crucial de segurança, identificando potenciais vulnerabilidades antes que possam ser exploradas. Ao focar em GitHub, onde os desenvolvedores frequentemente compartilham códigos, oferecemos aos clientes a tranquilidade de saber que suas informações críticas estão protegidas.

Se ficar com qualquer dúvida, é só chamar a gente no [email protected] 😊

Artigos relacionados
Tracking Tokens — Exposição de base de dados
Exposição de Cartão de Crédito
GitHub — O que é uma infração?
Tipos de Tickets - Deep & Dark Web
Outros Dados Sensíveis — Vazamento de Dados
Respondeu à sua pergunta?