shikata ga nai

Private? There is no such things.

ソースコードの検索エンジンをつかってみた

Hello there, ('ω')ノ

 

Sourcegraphを使用することで効率よく秘密を見つけることができて。

コードに含まれる機密情報を見つけるには、レッドチームにとっては非常に便利で。

ペネトレーションテスト中にソースコードへの洞察を得るために利用したりと。

 

f:id:ThisIsOne:20200604121746p:plain

 

Sourcegraphで検索した結果は、強調されて。

ソースコードリポジトリを早く簡単に検索および分析する方法で。

下記は、簡単な検索の例で。

 

f:id:ThisIsOne:20200604140552p:plain

 

このクエリエンジンは、正規表現やその他の機能をサポートしていて。

コードに存在すべきでないものも特定できて。

ドキュメントは、下記のサイトで。

 https://docs.sourcegraph.com/user/search/queries

 

f:id:ThisIsOne:20200604124944p:plain

 

画面上部のボタンやタブを選択してフィルタリングもできて。

過去のチェックインと、時間の経過に伴うコードの変化を確認できて。

これで、コードから削除されたものが機密情報である可能性もあって。

 

f:id:ThisIsOne:20200604134924p:plain

 

それから確認すべきものは、コミットメッセージ自体で。

これらのメッセージは、発生した変更に関するヒントを提供する場合があって。

資格情報の削除や事故といったメッセージが役立ったりと。

 

f:id:ThisIsOne:20200604135251p:plain

 

他には、複雑な正規表現をクエリすることもできて。

これで、強力なパスワードパターンの検索も可能になったりと。

 

f:id:ThisIsOne:20200604140002p:plain

 

Best regards, (^^ゞ

 

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain