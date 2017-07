Open source software is altijd al een goede bron geweest voor beveiligingsprofessionals. Metasploit, het open source penetratietest-framework is waarschijnlijk het beste voorbeeld. Maar het beveiligen van informatie is niet alleen weggelegd voor onderzoekers, wetenschappers en analisten en hetzelfde geldt voor de vijf open source beveiligingstools die wij in dit artikel behandelen. systeembeheerders en software-ontwikkelaars spelen een sleutelrol en met deze vijf tools kan je het verschil maken.

Commit Watcher: Check code repos voor "secrets"

"Secrets" horen niet thuis in open source repositories, maar dat weerhoudt verstrooide ontwikkelaars er niet van om ze daar toch per ongeluk op te slaan. We zien genoeg rapporten voorbij komen van mensen die per ongeluk private Amazon Web Services-sleutel, hard coded-wachtwoorden of API tokens beschikbaar maken in code die is opgeslagen in Github of andere code repositories.

Bedrijf SourceClear kwam met het programma Commit Watcher op de proppen. Deze gratis open source tool kijkt naar potentieel gevaarlijke commits in publieke en private Git repositories. Ontwikkelaars en administrators kunnen de tool gebruiken om hun eigen projecten te scannen en te kijken of hun code veilig is. Als er bijvoorbeeld een publiek project wordt bijgewerkt met een commit als "fixes XSS attack", dan zal commit watcher de ontwikkelaar die daarmee werkt melden dat er een nieuwe versie van de dependency opgehaald moet worden.

Commi Watcher kijkt regelmatig of er nieuwe commits zijn gedaan en zoekt naar specifieke sleutelwoorden in de regels van het project. Er wordt gekeken bestandsnamen, code-patronen, comments en auteursnamen. Daarnaast controleert de software ook tientallen voorgeconfigureerde regels waaronder AWS credentials, SSH keys, API-tokens en database dump bestanden.