Shhgit : un détecteur de clés privées pour Github
Le développement de projet crypto est loin d’être aisé. Nombre de développeurs oublient de retirer certaines informations sensibles du code. L’outil Shhgit permet de les détecter afin de réduire les risques potentiels.
Protège tes utilisteurs grâce à Shhgit
Shhgit est une initiative du développeur Paul Price, l’outil est disponible en open source et permet de scanner l’ensemble du code source d’un projet publié sur GitHub, afin d’y détecter les informations potentiellement sensibles. Pour rappel, GitHub est une plateforme permettant de stocker du code source ainsi que d’organiser du travail en équipe.
Comparé aux outils déjà existants, comme gitrob ou encore truggleHog, Shhgit est un programme qui scanne en permanence les modifications apportées aux codes, afin d’y détecter des informations sensibles.
L’autre avantage de l’outil réside dans l’interface utilisateur mise à disposition. Celle-ci permet de visualiser plus facilement l’ensemble des informations sensibles et leur localisation dans le code.
À travers ce projet, Paul Price souhaite réduire le nombre de brèches causé par inadvertance et sensibiliser les développeurs aux bonnes pratiques concernant la sécurité:
« La divulgation de secrets dans les dépôts de codes publics n’est pas une nouvelle menace. Elle existe depuis le lancement de GitHub il y a plus de 10 ans. D’après les récentes affaires de fuites de données, les conséquences sont claires : atteinte à la réputation et amendes exorbitantes. » Paul Price.
Un indispensable
La création de tels outils est devenue indispensable, alors que les cas de vol de données utilisateurs dues à la publication de données sensibles se multiplient.
Nous pouvons citer le cas de Capital One, où les informations personnelles de plus de 100 millions d’utilisateurs ont été dérobées suite à la publication accidentelle d’un fichier sur le répertoire GitHub publique du projet. Ce cas est loin d’être isolé, Scotiabank ainsi que Uber ont également été victimes de brèche de sécurité suite à la publication d’information sensible sur GitHub.
Cet outil pourrait bien devenir un indispensable pour tout développeur crypto. Il permettra d’éviter la publication non intentionnelle de clé permettant d’accéder à des services tiers ou encore de clé privée, renseignée en clair dans le code pour faciliter le développement.