InfoQ
·
Google Veles:一款为GCP提供支持的新开源秘密扫描器
内容提要
Google Veles是一款新发布的开源秘密扫描器,旨在检测组织内部系统中敏感凭证的意外暴露。它与Google Cloud及其他OSV-SCALIBR工具无缝集成,支持多种安全扫描,已成功识别API密钥等凭证,未来将扩展支持更多类型。
关键要点
-
Google Veles是一款新发布的开源秘密扫描器,属于Google的OSV-SCALIBR生态系统。
-
Veles旨在检测组织内部系统中敏感凭证的意外暴露,帮助防止凭证被滥用。
-
Google将在其云产品中使用Veles,包括Artifact Registry和安全指挥中心(SCC)。
-
Veles支持shift-left和shift-right安全策略,扫描基础设施和计算引擎中的秘密。
-
Google的开源安全团队使用Veles扫描数亿个开源工件,强调风险不仅限于公共源代码。
-
构建的包和Docker镜像可能包含潜在泄露凭证的配置和脚本,发布在开源库中可能导致凭证被利用。
-
Veles已成功识别和报告了大量历史工件中的暴露凭证,如API密钥和OAuth客户端秘密。
-
Veles作为Go库实现,开发者可以直接集成其API进行秘密扫描,也可以通过Python包osv-scalibur使用。
-
当前版本的Veles仅支持GCP API密钥、GCP服务账户密钥和RubyGems API密钥,未来计划扩展支持更多凭证类型。
延伸解读
Veles的集成与应用
Google Veles不仅是一个独立的秘密扫描器,还与Google Cloud的多个产品无缝集成。这种集成使得用户能够在使用Google Cloud服务时,实时监测和防止敏感凭证的泄露,提升了整体安全性。
开源安全的广泛影响
Veles的推出强调了开源项目中潜在的安全风险。Google的安全团队已经在数亿个开源工件中使用Veles进行扫描,表明即使是私有代码库之外,凭证泄露的风险依然存在,开发者需对此保持警惕。
未来扩展的潜力
当前版本的Veles仅支持有限的凭证类型,但Google计划未来扩展支持更多类型。这意味着随着工具的不断更新,用户将能够更全面地保护其系统中的敏感信息,适应不断变化的安全需求。
延伸问答
Google Veles的主要功能是什么?
Google Veles旨在检测组织内部系统中敏感凭证的意外暴露,帮助防止凭证被滥用。
Veles如何与Google Cloud产品集成?
Veles将作为Google Cloud产品的秘密扫描器,集成在Artifact Registry和安全指挥中心(SCC)中。
Veles支持哪些类型的凭证扫描?
当前版本的Veles支持GCP API密钥、GCP服务账户密钥和RubyGems API密钥,未来计划扩展支持更多凭证类型。
Veles是如何帮助开发者的?
Veles作为Go库实现,开发者可以直接集成其API进行秘密扫描,也可以通过Python包osv-scalibur使用。
Google Veles的开源安全团队使用它做什么?
Google的开源安全团队使用Veles扫描数亿个开源工件,以识别潜在的凭证泄露风险。
Veles的长期目标是什么?
Veles的长期目标是覆盖数百甚至数千种凭证类型,以增强其检测能力。
