Секретные ингредиенты безопасной разработки: исследуем способы точного и быстрого поиска секретов
Точно и быстро искать секрет в коде — тривиальная задача, если знаешь конкретный формат секрета и осуществляешь поиск в своём проекте. Задача становится сложнее, если твой скоуп включает несколько проектов или один большой корпоративный монорепозиторий. И эта же задача становится вызовом, если область поиска — платформа для разработчиков, а формат твоего секрета — недетерминирован.
Меня зовут Денис Макрушин, и вместе с Андреем Кулешовым @akuleshov7и Алексеем Тройниковым @atroynikov в этом году мы сделали POC платформы для безопасной разработки в рамках команды SourceCraft. Сегодня поговорим о функциональности поиска секретов. Наша appsec‑платформа состоит из двух групп инструментов: анализаторы, которые требуют точной настройки, и слой управления, который отвечает за обработку результатов и интеграцию с инфраструктурой.
В этом материале пройдём стадию discovery для анализатора секретов: посмотрим на актуальные инструменты поиска секретов, их ограничения и определим направления для повышения трёх ключевых параметров Secret Sсanning: точность, полнота и скорость.
Читать далееИсточник: Хабрахабр
Похожие новости
- Информационная безопасность – забота каждого из нас
- Евгений Костров: Лучшие темы для email-аутрич в 2025 году (более 200 примеров)
- Spark_news: «Почту России» подозревают в перенаправлении средств пенсионеров на другие счета
- Q2.team: Как мой новый лендинг провалился: история редизайна, убившего конверсию
- RUWARD выпустил кубковые рейтинги 2025
- Инсайдеры vs хакеры — кто опаснее?
- [Перевод] Как я превратил простую HTML-инъекцию в SSRF с помощью рендеринга PDF
- Как стать менеджером по продукту, если вы никогда этим не занимались
- Юридический разбор формулировок нового закона о поиске экстремистских материалов
- О мессенджерах, блокировках и анонимности