Forwarded from CatOps
GitHub Teams стал бесплатным для приватных репозиториев.
Такие фичи, как Codeowners и SAML всё ещё по подписке, но цены снизили с $9 до $4 per user/month
#github
Такие фичи, как Codeowners и SAML всё ещё по подписке, но цены снизили с $9 до $4 per user/month
#github
The GitHub Blog
GitHub is now free for teams
Every developer and team can now get private repositories with unlimited collaborators at no cost with GitHub Free, and we reduced prices for some of our paid plans.
🚀 fzf мощный инструмент для поиска прямо в терминале
fzf (Fuzzy Finder) — это универсальный инструмент для интерактивного поиска и выбора файлов, команд и других данных прямо в терминале. Он позволяет быстро находить нужные элементы, используя нечеткое соответствие, что значительно ускоряет работу с большими объемами информации.
🔍 Основные возможности:
- Интерактивный поиск по спискам файлов, команд и текстов.
- Поддержка различных источников данных: файловой системы, истории команд и т.д.
- Легкая интеграция с другими инструментами и скриптами.
Getting Started –> https://junegunn.github.io/fzf/getting-started/
#showconfig #github #terminal
fzf (Fuzzy Finder) — это универсальный инструмент для интерактивного поиска и выбора файлов, команд и других данных прямо в терминале. Он позволяет быстро находить нужные элементы, используя нечеткое соответствие, что значительно ускоряет работу с большими объемами информации.
🔍 Основные возможности:
- Интерактивный поиск по спискам файлов, команд и текстов.
- Поддержка различных источников данных: файловой системы, истории команд и т.д.
- Легкая интеграция с другими инструментами и скриптами.
Getting Started –> https://junegunn.github.io/fzf/getting-started/
#showconfig #github #terminal
junegunn.choi.
Getting Started
Getting Started # Understanding fzf # Basically, you can think of fzf as an interactive version of “grep” (with bells and whistles, lots of bells and whistles).
You feed lines of text to fzf via standard input, fzf starts an interactive terminal interface…
You feed lines of text to fzf via standard input, fzf starts an interactive terminal interface…
🔥2
🕵️♂️ Сканирование Oops Commits на GitHub в поисках утёкших секретов — разбор кейса
🔍 Кратко:
- GitHub хранит все публичные коммиты, даже те, которые разработчики “удаляют” через force push.
- Эти “удалённые” коммиты (zero-commit PushEvents) доступны в архиве GitHub навсегда.
- Автор проекта, белый хакер Шарон Бризинов (Sharon Brizinov) просканировал все force push события с 2020 года и нашёл секреты на сумму $25,000 в баунти.
⚡️ Что интересного:
- Удалить коммит на GitHub невозможно:
Даже после
- Автоматизация поиска секретов:
Используется GitHub Event API + GH Archive для поиска zero-commit PushEvents (force push без новых коммитов).
Новый инструмент Force Push Scanner позволяет сканировать такие “висячие” коммиты на секреты/пароли.
- Результаты поиска:
• Найдены тысячи активных секретов/паролей/токенов.
• Самые ценные находки — GitHub PAT и AWS credentials.
• Чаще всего секреты утекали из файлов:
- Кейс: предотвращение supply-chain атаки:
Был найден GitHub PAT с правами администратора ко всем репозиториям Istio(!) (36k звезд, 8k форков). Это могло привести к масштабной supply-chain атаке, но команда быстро отреагировала и удалила ключ.
- Важные выводы:
• После коммита секретов их нужно немедленно отзывать — “удаление” из истории не спасает.
• Для защиты стоит регулярно сканировать dangling commits в своих репозиториях.
🛠 Полезные инструменты:
Для поиска секретов в удалённых коммитах:
• https://github.com/trufflesecurity/trufflehog
• https://github.com/trufflesecurity/force-push-scanner
Рекомендую: если работаете с GitHub — проверьте свои репозитории и настройте автоматический поиск утёкших секретов!
Источник: https://trufflesecurity.com/blog/guest-post-how-i-scanned-all-of-github-s-oops-commits-for-leaked-secrets
@showconfig #безопасность #github #secrets #tokens #devops #trufflehog
🔍 Кратко:
- GitHub хранит все публичные коммиты, даже те, которые разработчики “удаляют” через force push.
- Эти “удалённые” коммиты (zero-commit PushEvents) доступны в архиве GitHub навсегда.
- Автор проекта, белый хакер Шарон Бризинов (Sharon Brizinov) просканировал все force push события с 2020 года и нашёл секреты на сумму $25,000 в баунти.
⚡️ Что интересного:
- Удалить коммит на GitHub невозможно:
Даже после
force push коммиты остаются доступны по хэшу — их можно найти и восстановить.- Автоматизация поиска секретов:
Используется GitHub Event API + GH Archive для поиска zero-commit PushEvents (force push без новых коммитов).
Новый инструмент Force Push Scanner позволяет сканировать такие “висячие” коммиты на секреты/пароли.
- Результаты поиска:
• Найдены тысячи активных секретов/паролей/токенов.
• Самые ценные находки — GitHub PAT и AWS credentials.
• Чаще всего секреты утекали из файлов:
.env, application.properties, docker-compose.yml, main.py.- Кейс: предотвращение supply-chain атаки:
Был найден GitHub PAT с правами администратора ко всем репозиториям Istio(!) (36k звезд, 8k форков). Это могло привести к масштабной supply-chain атаке, но команда быстро отреагировала и удалила ключ.
- Важные выводы:
• После коммита секретов их нужно немедленно отзывать — “удаление” из истории не спасает.
• Для защиты стоит регулярно сканировать dangling commits в своих репозиториях.
🛠 Полезные инструменты:
Для поиска секретов в удалённых коммитах:
• https://github.com/trufflesecurity/trufflehog
• https://github.com/trufflesecurity/force-push-scanner
Рекомендую: если работаете с GitHub — проверьте свои репозитории и настройте автоматический поиск утёкших секретов!
Источник: https://trufflesecurity.com/blog/guest-post-how-i-scanned-all-of-github-s-oops-commits-for-leaked-secrets
@showconfig #безопасность #github #secrets #tokens #devops #trufflehog
GitHub
GitHub - trufflesecurity/trufflehog: Find, verify, and analyze leaked credentials
Find, verify, and analyze leaked credentials. Contribute to trufflesecurity/trufflehog development by creating an account on GitHub.
1🌚3👍1🤯1