InfoQ
·
Google Veles:一款为GCP提供支持的新开源秘密扫描器
💡
原文英文,约400词,阅读约需2分钟。
📝
内容提要
Google Veles是一款新发布的开源秘密扫描器,旨在检测组织内部系统中敏感凭证的意外暴露。它与Google Cloud及其他OSV-SCALIBR工具无缝集成,支持多种安全扫描,已成功识别API密钥等凭证,未来将扩展支持更多类型。
🎯
关键要点
- Google Veles是一款新发布的开源秘密扫描器,属于Google的OSV-SCALIBR生态系统。
- Veles旨在检测组织内部系统中敏感凭证的意外暴露,帮助防止凭证被滥用。
- Google将在其云产品中使用Veles,包括Artifact Registry和安全指挥中心(SCC)。
- Veles支持shift-left和shift-right安全策略,扫描基础设施和计算引擎中的秘密。
- Google的开源安全团队使用Veles扫描数亿个开源工件,强调风险不仅限于公共源代码。
- 构建的包和Docker镜像可能包含潜在泄露凭证的配置和脚本,发布在开源库中可能导致凭证被利用。
- Veles已成功识别和报告了大量历史工件中的暴露凭证,如API密钥和OAuth客户端秘密。
- Veles作为Go库实现,开发者可以直接集成其API进行秘密扫描,也可以通过Python包osv-scalibur使用。
- 当前版本的Veles仅支持GCP API密钥、GCP服务账户密钥和RubyGems API密钥,未来计划扩展支持更多凭证类型。
❓
延伸问答
Google Veles的主要功能是什么?
Google Veles旨在检测组织内部系统中敏感凭证的意外暴露,帮助防止凭证被滥用。
Veles如何与Google Cloud产品集成?
Veles将作为Google Cloud产品的秘密扫描器,集成在Artifact Registry和安全指挥中心(SCC)中。
Veles支持哪些类型的凭证扫描?
当前版本的Veles支持GCP API密钥、GCP服务账户密钥和RubyGems API密钥,未来计划扩展支持更多凭证类型。
Veles是如何帮助开发者的?
Veles作为Go库实现,开发者可以直接集成其API进行秘密扫描,也可以通过Python包osv-scalibur使用。
Google Veles的开源安全团队使用它做什么?
Google的开源安全团队使用Veles扫描数亿个开源工件,以识别潜在的凭证泄露风险。
Veles的长期目标是什么?
Veles的长期目标是覆盖数百甚至数千种凭证类型,以增强其检测能力。
➡️
