GitHub Marketplace SAST 工具 gitleaks
Posted
技术标签:
【中文标题】GitHub Marketplace SAST 工具 gitleaks【英文标题】:GitHub Marketplace SAST tool gitleaks 【发布时间】:2021-08-20 13:31:06 【问题描述】:您好 Github 和 Gitleak 用户,
我想使用 gihub 市场上提供的 SAST 工具 gitleaks / gitleaks-action,它符合我们的要求。
我担心的是,
由于扫描仪将在我们 GitHub 组织的公共和私人存储库上运行,因此信任 Github Marketplace(免费提供)上可用的应用程序是否完全安全。
是否已检查“MIT 许可证”要求以确保可用工具的完整性,以便最终用户可以放心地安装这些安全工具? gitleaks 扫描 GitHub repo 后,得到的结果是否安全?
谢谢,
【问题讨论】:
【参考方案1】:您的问题没有重复,但看起来很像this one。
答案是(很遗憾)NO
信任 Github Marketplace 上提供的应用程序不完全安全。
你可以在这里找到一些参考资料:
Use GitHub actions at your own risk The Security of GitHub Actions Are Github Actions safe to use? Security hardening for GitHub Actions Keeping your GitHub Actions and workflows secure: Untrusted input Keeping your GitHub Actions and workflows secure: Preventing pwn requests了解这与您每天用于编码的大多数库相同。
Github Marketplace 上的Github Actions 通常是公共开源存储库,并不总是得到大公司的支持。他们中的大多数都执行简单的操作,您可以通过查看存储库代码来检查,但所有者总是有可能在实现的深处配置恶意内容。
这就是为什么您在选择一个或另一个动作/库时需要注意这一点,并在将它们用于您自己的项目之前要谨慎并检查代码及其最终漏洞。
如果您需要通知 个人访问令牌 (PAT) 作为输入变量,请更加谨慎。
请注意,Github 会在 Marketplace 上显示经过验证的用户,这可以被视为“受信任”。
示例:
希望不是每个人都有这种(做恶事)的心态,而且社区大部分时间都是乐于助人的。请注意,可能总是存在一些风险(一些安全工具可以帮助解决这个问题)。
【讨论】:
谢谢,合并后的共享信息帮了大忙。我很惊讶地看到像 gitleaks 这样的最受关注的应用程序没有“已验证”徽章(域不是已验证域)。在 GitHub Actions 中使用 GitHub 应用程序,是否建议在本地主机上托管相同的应用程序(如 gitleaks),这种方法是否比使用 GitHub Actions 运行应用程序更好? 我认为这些方法没有什么不同。如果您信任 Gitleaks 应用程序,则将其操作与 Github Actions 一起使用不会有问题,无论是在 Github Actions 还是在本地主机(您的库、代码或操作)中,该行为都将是相同的'将在两种方法中使用相同)。以上是关于GitHub Marketplace SAST 工具 gitleaks的主要内容,如果未能解决你的问题,请参考以下文章
SonarQube 可以用于点网核心版本 3.2 应用程序的 SAST 吗?
获取OpenHarmony源码:从DevEco Marketplace获取
eclipse更新皮肤无法使用Ecclipse Marketplace时解决方案