<div dir="ltr"><div dir="ltr"><div>Often when system administrators are developing scripts and other tools for automation, it may be necessary to include secrets in these tools such as AWS keys, authentication information and other private API keys. </div><div><br></div><div>Unfortunately, this often leads to keys getting leaked in public git repositories. For instance, NCSU academics scanned GitHub accounts, for about six months looking for API tokens and cryptographic keys. They discovered over 100,000 repos have leaked such keys accidentally. This introduces a huge security hole in an infrastructure, which can affect the correctness and quality of an application. This week, the Black Team conducted research in order to mitigate this problem.</div><div><br></div><div>AWS Labs has developed a tool called `git-secrets`, which scans commits, commit messages and merges to prevent adding secrets into git repositories. Also, this application can be configured as a githook, which will prevent code from even being pushed if it contains private keys, therefore preventing the mistreatment of keys by developers.</div><div><br></div><div>References:</div><div><a href="https://github.com/awslabs/git-secrets">https://github.com/awslabs/git-secrets</a></div><div><a href="https://www.zdnet.com/article/over-100000-github-repos-have-leaked-api-or-cryptographic-keys/?hss_channel=lcp-3238521">https://www.zdnet.com/article/over-100000-github-repos-have-leaked-api-or-cryptographic-keys/?hss_channel=lcp-3238521</a></div><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div></div></div></div></div></div></div></div></div></div>