deadshot

Deadshot es un escáner de solicitudes de extracción que busca la introducción de secretos a través de relaciones públicas al comparar cada línea de diferencias con un conjunto de expresiones secretas conocidas.

El servicio es responsable de:

• Procesador de diferenciación de solicitudes de extracción en tiempo real para verificar si hay secretos que se envían a Github a través de un nuevo código
• Notificar al usuario en la conversación de relaciones públicas si marca algo
• Slack notifica al canal del equipo de seguridad cuando se identifican ciertos secretos en el código para el cual ha habilitado las notificaciones de slack a través de una marca en regex.json

El servicio NO:

• Realice cualquier análisis de código estático o dinámico.

Deadshot es una aplicación multicontenedor Flask-Celery-Redis que se instala como una aplicación Github para ejecutarse en cada solicitud de extracción creada en la rama principal de un repositorio en el que está instalada la aplicación Github.

El contenedor Flask es el punto de entrada para el servicio al exponer las rutas API definidas en blueprints.py. Una vez que se recibe una carga útil de solicitud de extracción en la ruta API, el servicio reenvía la carga útil a una cola de Redis para que el contenedor Celery la recoja y escanee la diferencia de la solicitud de extracción. Después de que el contenedor de apio busca expresiones regulares secretas específicas, comenta las relaciones públicas, Slack notifica al canal del equipo de seguridad o crea un ticket JIRA para que el equipo realice un seguimiento. La aplicación Github está configurada con la URL de la API de Flask y un secreto compartido utilizado para generar la suma de comprobación SHA de la carga útil.

Una forma de configurar la URL de la API es implementar este código en un host y asignar un equilibrador de carga de aplicaciones a este host.

Nota: Al crear la aplicación, asegúrese de tener un DNS listo para el host en el que implementará contenedores Deadshot y una cadena secreta segura para el secreto del webhook.

Los administradores de Github necesitarían crear e instalar una aplicación Github en Github antes de ejecutar o implementar la aplicación Deadshot. Para saber más sobre cómo crear una aplicación Github, lea esta guía.

Nombre de la aplicación: deadshot (todo en minúsculas. Esto es importante ya que el servicio usa este nombre para recuperar comentarios anteriores que realizó sobre un PR)

URL del webhook: http(s)://your-hosted-deadshot-dns/api/v1/deadshot-webhook

Para probar esto localmente, puede crear un punto final de ngrok para alimentar la sección de webhook de su aplicación Github.

Para que esta aplicación funcione, su aplicación Github deberá habilitar los siguientes permisos y suscripciones en la página de permisos de la aplicación Github: Permisos del repositorio:

• Metadatos: solo lectura
• PullRequests: leer y escribir
• Webhooks: leer y escribir

Todos los demás permisos se dejan sin cambios al valor predeterminado de Sin acceso

Suscríbete a eventos:

• Solicitud de extracción
• Revisión de solicitud de extracción

Finalmente haga clic en "Crear aplicación GitHub". Después de la creación exitosa de la aplicación, siga el enlace "generar una clave privada" en la sección superior de la página web de la aplicación.

Una vez generada la clave privada, guárdela en un lugar seguro. Esta clave privada generada es uno de los datos utilizados para generar un token de sesión para la interacción de la aplicación.

Después de generar la clave privada, instale la aplicación en todas las organizaciones que desee que supervise.

Esta es una aplicación de contenedores múltiples diseñada para mostrar los tres contenedores (Flask, Celery, Redis) a través de /bin/run.sh, por lo que al ejecutar la imagen de Dockerfile debería aparecer la aplicación completa.

Las tres variables siguientes son valores de cadena única proporcionados por el usuario.

• GITHUB_URL: esta es la URL detrás de la cual se accede a su instancia de Github. Proporcione el DNS sin esquema ni puerto. P.ej. si su URL web de Github es https://github.mockcompany.com, proporcione el valor github.mockcompany.com
• GITHUB_API: esta es la URL de API para Github. P.ej. Si tiene su DNS de Github como https://github.mockcompany.com, entonces su API sería algo así como https://github.mockcompany.com/api/v3
• JIRA_SERVER= URL web del servidor JIRA de su empresa

Las siguientes variables de entorno cargan la ruta a los archivos con credenciales. Cargue los valores clave del archivo json en los archivos disponibles aquí antes de ejecutar la aplicación.

• SECRET_GITHUB_SECRET: esta variable carga github_secrets.json y tiene el secreto del webhook compartido de la aplicación Github, el ID de integración y la clave pem. Estos tres secretos se obtienen del webhook secreto de la página de configuración de la aplicación Github: este es el secreto configurado durante el proceso de creación de la aplicación ID de integración: este es el ID de la aplicación que se muestra en la página de configuración de la aplicación Github clave pem: esta es la clave privada generada durante el proceso de instalación de la aplicación
• SECRET_SLACK_WEBHOOKS: este slack_webhook.json y tiene la URL del webhook a la que la aplicación Deadshot enviará notificaciones de holgura cuando encuentre secretos en un PR para el cual configuró slack_alert=True en regex.json
• SECRET_JIRA_AUTH: esto carga jira_user.json y tiene el nombre de usuario y la contraseña para que el ID de usuario acceda al tablero JIRA de la organización. Nota: si no proporciona valores válidos en SECRET_SLACK_WEBHOOKS y SECRET_JIRA_AUTH, el servicio fallará e imprimirá mensajes de error sobre la falla al iniciar la holgura. y métodos jira en los registros del contenedor acoplable

Nota: Si no mueve la ubicación de los archivos secretos JSON, no necesita actualizar los tres valores de variables de entorno anteriores que ya están presentes en Dockerfiles o docker-compose.yaml.

Este comando utilizará docker-compose.yaml para abrir todos los contenedores. Actualice configuración/environment/localdev.env con valores relevantes para su organización antes de ejecutar el siguiente comando

make serve

Una vez que haya hecho esto y no tenga intención de utilizar Dockerfile para servir la aplicación, vaya a la sección "Verificación del estado del servidor".

Hay dos formas de compilar y ejecutar Dockerfiles. Hay cuatro Dockerfiles presentes en el repositorio, tres de los cuales se usan para generar una imagen individual para cada contenedor necesario para que este servicio funcione, y el cuarto es una configuración de Dockerfile para crear una imagen que se puede usar para abrir el archivo Dockerfile. Aplicación Flask o el trabajador de apio según el valor de la variable de entorno DEADSHOT_RUN_MODE (api o trabajador) proporcionado. Para ejecutar cualquiera de los pasos siguientes, debe estar presente en la carpeta raíz del repositorio.

Nota: Asegúrese de haber actualizado las variables de entorno en los archivos Dockerfile.api y Dockerfile.celery.

Hay tres Dockerfiles relevantes para este paso. Dockerfile.api, Dockerfile.apio y Dockerfile.redis

 docker build -f Dockerfile.api -t deadshot-api:<version> .

 docker build -f Dockerfile.celery -t deadshot-worker:<version> .

 docker build -f Dockerfile.redis -t deadshot-redis:<version> .

Las tres imágenes creadas en los pasos anteriores se ejecutan en redes separadas, por lo que no podrán comunicarse entre sí. Para habilitar las comunicaciones entre contenedores, debemos agregarlos a una red de contenedores.

 docker network create deadshot-network

Ejecute las imágenes usando la red creada en el siguiente orden: Inicie el contenedor de Redis:

 docker run --net deadshot-network --name redis deadshot-redis:<version>

Inicie el contenedor de apio:

 docker run --net deadshot-network deadshot-worker:<version>

Inicie el contenedor API de Flask:

 docker run --net deadshot-network -p 9001:9001 deadshot-api:<version>

Para crear una única imagen de ventana acoplable para abrir la API y el trabajador de apio según la variable de entorno DEADSHOT_RUN_MODE

make build

Este comando también creará la imagen de Redis necesaria para el servicio.

Si la imagen creada se ejecuta con la variable de entorno DEADSHOT_RUN_MODE=api, aparecerá la aplicación Flask. Si la imagen se ejecuta con la variable de entorno DEADSHOT_RUN_MODE=worker, se iniciará el trabajador de apio.

Ahora que la API está lista para recibir solicitudes, navegar a http://localhost:9001/api/v1/heartbeat en un navegador debería devolver una respuesta válida o podría hacer un curl.

curl localhost:9001/api/v1/healthcheck

Ambos deberían mostrar el siguiente mensaje: {"healthcheck": "ready"}

Si tiene una carga útil de webhook de la aplicación Github para su solicitud de extracción, puede ejecutar el siguiente comando curl localmente para probar su aplicación:

curl -X POST -H " content-type: application/json " -H " X-GitHub-Enterprise-Host: github.mockcompany.com " -H " X-Hub-Signature: sha1=85df4936c6396c149be94144befab41168149840 " -H " X-GitHub-Event: pull_request " -d @tests/fixtures/good_pr.json http://localhost:9001/api/v1/deadshot-webhook

Si desea que la herramienta supervise otros tipos de secretos, agregue sus expresiones regulares en el archivo regex.json.

Nota: El indicador de verificación de entropía le permite buscar resultados de alta entropía además de la coincidencia de expresiones regulares.

En este momento, Deadshot solo ha probado con Github Enterprise, pero también debería funcionar con la nube de Github.