В настоящее время нет (или мало) публично доступных инструментов с открытым исходным кодом для обнаружения секретов в образах контейнеров. Авторы рассказывают про инструмент с открытым исходным кодом SecretScanner который предназначен для обнаружения секретов, которые хранятся в образах непреднамеренно или по ошибке дизайна образа
Примеры секретов:
▫️ пароли пользователей
▫️ автоматически сгенерированные пароли
▫️ пароли от БД
▫️ SSH ключи
▫️ API ключи
▫️ авторизационные ключи
▫️ токены
▫️ SSL сертификаты
https://github.com/deepfence/SecretScanner
Отправить комментарий