How to Automatically Run Detect-Secrets with Git Pre-Commit Hooks | Secure Your Code with Pre-Commit

webpwnized

23 Sept 202409:30

Summary

TLDRIn diesem Video wird gezeigt, wie man mit dem Tool Detect Secrets und dem Pre-Commit-Framework geheime Informationen wie Passwörter oder API-Schlüssel in einem Git-Repository aufspürt. Der Prozess umfasst die Installation von Pre-Commit und Detect Secrets, das Erstellen einer Konfigurationsdatei und eines Baseline-Files, sowie das Automatisieren des Scans bei jedem Commit. So können Entwickler sicherstellen, dass keine sensiblen Daten versehentlich in das Repository eingecheckt werden. Der Umgang mit falsch positiven Ergebnissen wird ebenfalls erklärt, um die Fehlalarme effizient zu verwalten und die Sicherheit zu gewährleisten.

Takeaways

😀 Installiere die Softwarepakete 'pre-commit' und 'detect-secrets' mit dem Befehl 'pip install'.
😀 Überprüfe die Version von 'pre-commit' und 'detect-secrets', um sicherzustellen, dass sie korrekt installiert sind.
😀 Wenn die Software bereits installiert ist, zeigt der Befehl eine Bestätigung oder eine Fehlermeldung an, die auf Konflikte hinweist.
😀 Erstelle eine '.pre-commit-config.yaml' Datei im Stammverzeichnis des Repositories, um die Konfiguration zu definieren.
😀 Die Konfigurationsdatei enthält Informationen zur Version von 'detect-secrets' und welche Argumente an das Kommando übergeben werden.
😀 Der Baseline-Datei 'secrets.baseline' enthält Tokens, die wie Geheimnisse aussehen, aber keine sind. Diese Datei sollte vor der Verwendung erstellt werden.
😀 Scanne das Repository mit 'detect-secrets --scan', um die Baseline-Datei zu erstellen, die bekannte falsche Positives enthält.
😀 Der 'pre-commit' Hook wird automatisch durch den Befehl 'pre-commit install' erstellt und führt 'detect-secrets' vor jedem Commit aus.
😀 Wenn neue potenzielle Geheimnisse gefunden werden, schlägt der Commit fehl, sodass sie überprüft werden können.
😀 Um falsche Positives zu kennzeichnen, füge einen Kommentar 'pragma: allow secrets' hinzu, um den Commit zuzulassen.
😀 Halte die Baseline-Datei aktuell, um sicherzustellen, dass keine echten Geheimnisse in zukünftigen Commits übersehen werden.

Q & A

Was ist das Hauptziel von Detect Secrets?
-Detect Secrets hilft dabei, Geheimnisse wie API-Schlüssel, Passwörter und andere sensible Informationen zu identifizieren, die versehentlich im Quellcode gespeichert wurden, bevor dieser in ein Git-Repository übertragen wird.
Welche Software muss zuerst installiert werden, um Detect Secrets zu verwenden?
-Zuerst muss das Pre-Commit-Framework sowie Detect Secrets installiert werden. Beide können mit dem Befehl 'pip install' installiert werden.
Wie kann man überprüfen, ob Pre-Commit und Detect Secrets korrekt installiert sind?
-Mit dem Befehl 'pre-commit --version' und 'detect-secrets --version' kann die Version der installierten Software überprüft werden. Dies gibt eine Rückmeldung, ob die Installation erfolgreich war.
Was ist eine .pre-commit-config.yaml-Datei?
-Die .pre-commit-config.yaml-Datei ist eine Konfigurationsdatei, die sich im Root-Verzeichnis eines Git-Repositories befindet und Pre-Commit anweist, welche Skripte vor einem Commit ausgeführt werden sollen, einschließlich der Ausführung von Detect Secrets.
Welche Rolle spielt die Baseline-Datei in diesem Prozess?
-Die Baseline-Datei speichert eine Liste aller derzeit im Quellcode enthaltenen Tokens, die wie Geheimnisse aussehen, aber keine sind. Diese Datei hilft dabei, Fehlalarme zu vermeiden und kennzeichnet bekannte, harmlose Geheimnisse.
Wie wird die Baseline-Datei erstellt?
-Die Baseline-Datei wird erstellt, indem der Befehl 'detect-secrets scan' im Root-Verzeichnis des Repositories ausgeführt wird, um den Code zu scannen und potenzielle Geheimnisse zu identifizieren, die dann in der Baseline-Datei gespeichert werden.
Was passiert, wenn ein potenzielles Geheimnis nach dem Erstellen der Baseline-Datei hinzugefügt wird?
-Wenn nach dem Erstellen der Baseline-Datei ein neues potenzielles Geheimnis hinzugefügt wird und ein Commit versucht wird, wird Pre-Commit automatisch Detect Secrets ausführen und den Commit blockieren, wenn ein Geheimnis entdeckt wird.
Wie kann man mit einem falsch positiven Ergebnis umgehen?
-Falsch positive Ergebnisse können durch das Hinzufügen eines Kommentars am Ende der betreffenden Zeile (z. B. 'pragma: allow secrets') behandelt werden. Dadurch wird das Geheimnis als falsch positiv markiert und der Commit kann fortgesetzt werden.
Wie können mehrere Benutzer in einem Team erkennen, dass ein Geheimnis als falsch positiv markiert wurde?
-Durch das Hinzufügen eines Kommentars wie 'pragma: allow secrets' können alle Teammitglieder erkennen, dass das betreffende Geheimnis überprüft und als falsch positiv markiert wurde. Weitere Informationen können im Kommentar hinzugefügt werden.
Was passiert, wenn das Baseline-File nicht vorhanden ist?
-Wenn das Baseline-File nicht vorhanden ist, muss es zuerst erstellt werden, indem der Befehl 'detect-secrets scan' ausgeführt wird, um alle bereits im Repository enthaltenen, potenziellen Geheimnisse zu erfassen und zu dokumentieren.