Mire kell figyelni, amikor API-kulcsokat, tokeneket vagy jelszavakat használsz a fejlesztés során? A videó bemutatja a Gitleaks nevű, nyílt forráskódú eszközt, amely segít azonosítani a kódban véletlenül elrejtett vagy elfelejtett titkos adatokat, például API-kulcsokat.
A szerző a saját napi munkafolyamataiból kiindulva érzékelteti, mekkora veszélyt jelenthetnek az adatszivárgások, például amikor a GitHubra feltöltött projektekben titkos kulcsok maradnak. Kiemeli, hogy nemcsak az API-kulcsok, hanem egyéb érzékeny adatok – például jelszavak, tokenek vagy egyéb hitelesítési adatok – megtalálására is alkalmas a Gitleaks.
Az eszköz működésének alapjait, főbb tulajdonságait és telepítését is bemutatja, többek között Docker segítségével. Kitér arra, hogy milyen különböző fejlesztési környezetekben és CI/CD folyamatokban lehet automatizálni a titkok felderítését. Részletesen elemzi, hogyan használhatók a regular expression (regex) szabályok, az entropia-elemzés, illetve az allowlist mechanizmusok a gyanús sorok szűrésére.
A nézők betekintést kapnak abba, miképp lehet egyedi detektálási szabályokat TOML konfigurációs fájlokkal definiálni, valamint hogyan képes az eszköz archivált állományokban (pl. ZIP, tar) és különféle kódolt adatokban is felismerni a titkos adatokat. Több gyakorlati példán keresztül szemlélteti a használatot, miközben végigvezeti a nézőt az adott esettanulmányokon is.
