Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS
Scansiona gli archivi Git alla ricerca di informazioni sensibili e problemi di sicurezza utilizzando git-secrets - Prontuario AWS
RiepilogoPrerequisiti e limitazioniArchitetturaStrumentiBest practiceEpicheRisorse correlate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scansiona gli archivi Git alla ricerca di informazioni sensibili e problemi di sicurezza utilizzando git-secrets

PDF

Creato da Saurabh Singh (AWS)

Riepilogo

Questo modello descrive come utilizzare lo strumento open source git-secrets di AWS Labs per scansionare gli archivi di sorgenti Git e trovare codice che potrebbe includere informazioni sensibili, come password utente o chiavi di accesso AWS, o che presenta altri problemi di sicurezza.

git-secretsanalizza i commit, i messaggi di commit e le unioni per impedire che informazioni sensibili come quelle segrete vengano aggiunte ai tuoi repository Git. Ad esempio, se un commit, un messaggio di commit o qualsiasi commit in una cronologia di unione corrisponde a uno dei modelli di espressioni regolari proibiti e configurati, il commit viene rifiutato.

Prerequisiti e limitazioni

Prerequisiti

  • Un account AWS attivo

  • Un repository Git che richiede una scansione di sicurezza

  • Un client Git (versione 2.37.1 e successive) installato

Architettura

Architettura Target

  • Git

  • git-secrets

Utilizzo dello strumento git-secrets per scansionare i repository di sorgenti Git alla ricerca di informazioni sensibili.

Strumenti

  • git-secrets è uno strumento che ti impedisce di inserire informazioni sensibili nei repository Git.

  • Git è un sistema di controllo delle versioni distribuito open source.

Best practice

  • Scansiona sempre un repository Git includendo tutte le revisioni:

git secrets --scan-history

Epiche

AttivitàDescrizioneCompetenze richieste

Connect a un' EC2 istanza utilizzando SSH.

Connettiti a un'istanza Amazon Elastic Compute Cloud (Amazon EC2) utilizzando SSH e un file key pair.

Puoi saltare questo passaggio se stai scansionando un repository sul tuo computer locale.

Informazioni generali su AWS

Connect a un' EC2 istanza

AttivitàDescrizioneCompetenze richieste

Connect a un' EC2 istanza utilizzando SSH.

Connettiti a un'istanza Amazon Elastic Compute Cloud (Amazon EC2) utilizzando SSH e un file key pair.

Puoi saltare questo passaggio se stai scansionando un repository sul tuo computer locale.

Informazioni generali su AWS
AttivitàDescrizioneCompetenze richieste

Installa Git.

Installa Git usando il comando:

yum install git -y

Se stai usando il tuo computer locale, puoi installare un client Git per una versione specifica del sistema operativo. Per ulteriori informazioni, consulta il sito Web Git.

Informazioni generali su AWS

Installa Git

AttivitàDescrizioneCompetenze richieste

Installa Git.

Installa Git usando il comando:

yum install git -y

Se stai usando il tuo computer locale, puoi installare un client Git per una versione specifica del sistema operativo. Per ulteriori informazioni, consulta il sito Web Git.

Informazioni generali su AWS
AttivitàDescrizioneCompetenze richieste

Clona il repository dei sorgenti Git.

Per clonare il repository Git che vuoi scansionare, scegli il comando Git clone dalla tua home directory.

Informazioni generali su AWS

Clona git-secrets.

Clona il repository git-secrets Git.

git clone https://github.com/awslabs/git-secrets.git

Posizionalo git-secrets da qualche parte nel tuo in PATH modo che Git lo raccolga quando corrigit-secrets.

Informazioni generali su AWS

Installa git-secrets.

Per Unix e varianti (Linux/macOS):

È possibile utilizzare la install destinazione di Makefile (fornita nel git-secrets repository) per installare lo strumento. È possibile personalizzare il percorso di installazione utilizzando le MANPREFIX variabili PREFIX and.

make install

Per Windows:

Esegui lo PowerShell install.ps1 script fornito nel git-secrets repository. Questo script copia i file di installazione in una directory di installazione (%USERPROFILE%/.git-secretsper impostazione predefinita) e aggiunge la directory all'utente PATH corrente.

PS > ./install.ps1

Per Homebrew (utenti macOS):

Esegui:

brew install git-secrets

Per ulteriori informazioni, consulta la sezione Risorse correlate.

Informazioni generali su AWS

Clona il repository dei sorgenti e installa git-secrets

AttivitàDescrizioneCompetenze richieste

Clona il repository dei sorgenti Git.

Per clonare il repository Git che vuoi scansionare, scegli il comando Git clone dalla tua home directory.

Informazioni generali su AWS

Clona git-secrets.

Clona il repository git-secrets Git.

git clone https://github.com/awslabs/git-secrets.git

Posizionalo git-secrets da qualche parte nel tuo in PATH modo che Git lo raccolga quando corrigit-secrets.

Informazioni generali su AWS

Installa git-secrets.

Per Unix e varianti (Linux/macOS):

È possibile utilizzare la install destinazione di Makefile (fornita nel git-secrets repository) per installare lo strumento. È possibile personalizzare il percorso di installazione utilizzando le MANPREFIX variabili PREFIX and.

make install

Per Windows:

Esegui lo PowerShell install.ps1 script fornito nel git-secrets repository. Questo script copia i file di installazione in una directory di installazione (%USERPROFILE%/.git-secretsper impostazione predefinita) e aggiunge la directory all'utente PATH corrente.

PS > ./install.ps1

Per Homebrew (utenti macOS):

Esegui:

brew install git-secrets

Per ulteriori informazioni, consulta la sezione Risorse correlate.

Informazioni generali su AWS
AttivitàDescrizioneCompetenze richieste

Vai al repository dei sorgenti.

Passa alla directory del repository Git che desideri scansionare:

cd my-git-repository
Informazioni generali su AWS

Registra il set di regole AWS (Git hooks).

git-secretsPer configurare la scansione del tuo repository Git su ogni commit, esegui il comando: 

git secrets --register-aws
Informazioni generali su AWS

Scansiona il repository.

Esegui il seguente comando per avviare la scansione del repository:

git secrets -–scan
Informazioni generali su AWS

Esamina il file di output.

Lo strumento genera un file di output se rileva una vulnerabilità nel tuo repository Git. Per esempio:

example.sh:4:AWS_SECRET_ACCESS_KEY = *********

[ERROR] Matched one or more prohibited patterns

Possible mitigations:
- Mark false positives as allowed using: git config --add secrets.allowed ...
- Mark false positives as allowed by adding regular expressions to .gitallowed at repository's root directory
- List your configured patterns: git config --get-all secrets.patterns
- List your configured allowed patterns: git config --get-all secrets.allowed
- List your configured allowed patterns in .gitallowed at repository's root directory
- Use --no-verify if this is a one-time false positive
Informazioni generali su AWS

Scansiona l'archivio di codice git

AttivitàDescrizioneCompetenze richieste

Vai al repository dei sorgenti.

Passa alla directory del repository Git che desideri scansionare:

cd my-git-repository
Informazioni generali su AWS

Registra il set di regole AWS (Git hooks).

git-secretsPer configurare la scansione del tuo repository Git su ogni commit, esegui il comando: 

git secrets --register-aws
Informazioni generali su AWS

Scansiona il repository.

Esegui il seguente comando per avviare la scansione del repository:

git secrets -–scan
Informazioni generali su AWS

Esamina il file di output.

Lo strumento genera un file di output se rileva una vulnerabilità nel tuo repository Git. Per esempio:

example.sh:4:AWS_SECRET_ACCESS_KEY = *********

[ERROR] Matched one or more prohibited patterns

Possible mitigations:
- Mark false positives as allowed using: git config --add secrets.allowed ...
- Mark false positives as allowed by adding regular expressions to .gitallowed at repository's root directory
- List your configured patterns: git config --get-all secrets.patterns
- List your configured allowed patterns: git config --get-all secrets.allowed
- List your configured allowed patterns in .gitallowed at repository's root directory
- Use --no-verify if this is a one-time false positive
Informazioni generali su AWS

Risorse correlate

Hai bisogno di aiuto?

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.