SecretScanner Encuentra Secretos y Contraseñas en Imágenes de Contenedores
SecretScanner Encuentra Secretos y Contraseñas en Imágenes de Contenedores

SecretScanner: Encuentra Secretos y Contraseñas en Imágenes de Contenedores

SecretScanner es una herramienta independiente que recupera y busca en los sistemas de archivos de contenedores y hosts, comparando el contenido con una base de datos de aproximadamente 140 tipos de secretos.

SecretScanner también está incluido en ThreatMapper, un escáner de código abierto que identifica dependencias vulnerables y secretos no protegidos en aplicaciones nativas en la nube, y clasifica estas vulnerabilidades según su riesgo de explotación.

¿Qué son los Secretos?

Los secretos son cualquier tipo de dato sensible o privado que otorga a los usuarios autorizados permiso para acceder a infraestructuras críticas de TI (como cuentas, dispositivos, redes, servicios basados en la nube), aplicaciones, almacenamiento, bases de datos y otros tipos de datos críticos para una organización.

Por ejemplo, contraseñas, IDs de acceso de AWS, claves de acceso secretas de AWS, claves de Google OAuth, etc., son secretos. Los secretos deben mantenerse estrictamente privados. Sin embargo, a veces los atacantes pueden acceder fácilmente a los secretos debido a políticas de seguridad defectuosas o errores inadvertidos de los desarrolladores.

A veces, los desarrolladores usan secretos predeterminados o dejan secretos codificados, como contraseñas, claves API, claves de cifrado, claves SSH, tokens, etc., en las imágenes de contenedores, especialmente durante ciclos rápidos de desarrollo y despliegue en la tubería CI/CD.

Además, en ocasiones los usuarios almacenan contraseñas en texto plano. La filtración de secretos a entidades no autorizadas puede poner a tu organización e infraestructura en un grave riesgo de seguridad.

Deepfence SecretScanner ayuda a los usuarios a escanear sus imágenes de contenedores o directorios locales en hosts y genera un archivo JSON con detalles de todos los secretos encontrados.

Consulta este blog para más detalles.

¿Cuándo usar SecretScanner?

Usa SecretScanner si necesitas un método liviano y eficiente para escanear imágenes de contenedores y sistemas de archivos en busca de posibles secretos (claves, tokens, contraseñas). Luego, puedes revisar estos posibles “secretos” para determinar si alguno de ellos debe eliminarse de los despliegues en producción.

Inicio rápido

Para obtener instrucciones completas, consulta la documentación de SecretScanner.

Instala Docker y ejecuta SecretScanner en una imagen de contenedor usando las siguientes instrucciones:

  • Construye SecretScanner:
./bootstrap.sh
docker build --rm=true --tag=quay.io/deepfenceio/deepfence_secret_scanner_ce:2.3.1 -f Dockerfile .
  • O, extrae la última versión desde Docker Hub haciendo:
docker pull quay.io/deepfenceio/deepfence_secret_scanner_ce:2.3.1
  • Extrae una imagen de contenedor para escanear:
docker pull node:8.11
  • Escanea la imagen de contenedor:
docker run -i --rm --name=deepfence-secretscanner -v /var/run/docker.sock:/var/run/docker.sock quay.io/deepfenceio/deepfence_secret_scanner_ce:2.3.1 -image-name node:8.11 --output json > node.json

Descargo de responsabilidad

Esta herramienta no está destinada a ser utilizada para hackear. Úsala solo para fines legítimos como la detección de secretos en la infraestructura que posees, no en la de otros. DEEPFENCE no será responsable por la pérdida de beneficios, pérdida de negocios, otras pérdidas financieras, o cualquier otra pérdida o daño que pueda ser causado, directa o indirectamente, por la inadecuación de SecretScanner para cualquier propósito o uso, o por cualquier defecto o deficiencia en ella.

https://github.com/deepfence/SecretScanner

My Cart Close (×)

Tu carrito está vacío
Ver tienda