(Frissítve 2023.06.01. ─ Hibás rövidítés javítása)
Az NCC Group kiberbiztonsági cég új ingyenesen elérhető, nyílt forráskódú eszközöket adott ki, amelyek hasznosak lehetnek alkalmazásfejlesztők és pentesterek számára.
A Code Credential Scanner (ccs) nevű eszközt a fejlesztők arra használhatják, hogy átvizsgálják a repositoryban lévő konfigurációs fájlokat, hogy felismerjék a tárolt hitelesítő adatokat, így még az esetleges kiszivárgásuk előtt eltávolíthatják azokat. Az eszköz helyi fájlrendszeren fut, és bármikor futtatható a helyi fájlok átvizsgálására, sőt a fejlesztési mechanizmusokba is integrálható, hogy automatizált, ütemezett vizsgálatokat végezhessen.
“Az eszközt közvetlenül a fejlesztőcsapatoknak szánjuk egy CI/CD pipelineban, hogy automatizáltan tudják figyelmeztetni a csapatot, ha hitelesítő adatok kerültek a kódba, így azok azonnal láthatóvá és javíthatóvá válnak” – magyarázza az NCC Group….
A Python nyelven írt scriptnek nincsenek külső függőségei, és különféle paraméterekkel is futtatható, hogy a jelszavak és kulcsok mellett felhasználóneveket, e-mail címeket és hasonlókat is azonosítani lehessen.
A Code Credential Scanner nyelvfüggetlennek készült, a fals pozitív eredmények csökkentése érdekében bármilyen kódbázison működhet, és többféle módszert kínál a problémák kezelésére.
Az NCC Group által bemutatott másik új eszköz a szintén nyílt forráskódú CowCloud, amely a pentestereknek és más technikai csapatoknak az AWS-en belüli terhelések eloszlásában segíthet. A vállalat ajánlója szerint az eszköz biztonsági tesztek alapszintű meghatározására, az AWS-en belüli elosztott jelszófeltörésre, valamint az eszközök központosított elérésére és kezelésére is használható.