🕵️ 你可能不知道的 6 个绝密开源项目 🤔

由 Mux 主办的 DEV 全球展示挑战赛：展示你的项目！

作为一名几年前参加过编程训练营的开发者，我可以告诉你，训练营里从未涉及的首要主题是安全。

一方面，我明白。开始你的发展之旅可能相当具有挑战性，尤其是在你努力打下坚实基础的时候。

从学习编程语言、设置路由、运行服务器、进行单元测试，到从数据库中获取数据，已经有很多事情需要处理了。

现在回想起来，我简直无法想象，如果再加上安全问题，那该是多么令人不知所措。

虽然登录安全一直是一个需要考虑的因素，但从应用程序安全 (AppSec) 到云安全等更广泛的安全话题是一个庞大且有些难以捉摸的主题。

当我加入讨论安全的社群后，我的观点发生了转变，我的眼界也因此变得更加开阔。

我开始深入了解 SQL 注入等概念的复杂性，以及开源依赖项引入的漏洞。

顶级机密开源项目对新手来说往往仍然是个谜，原因在于，对于开发新手而言，安全似乎是一个遥远的领域。

那么，让我们来探讨一些可以在各个阶段增强应用程序安全性的服务。

值得注意的是，虽然这份清单并不详尽，但有一点是明确的：永远不要低估安全的重要性。

这应该始终是头等大事，因为正如俗语所说，安全漏洞不是会不会发生的问题，而是何时发生的问题。

这就引出了维护完整日志的重要性，尤其是在发生此类事件时。

让我们深入了解一下！

[1]回溯

BoxyHQ 的审计日志通过一个集成 API，使您或您的客户能够记录和搜索应用程序中发生的事件。

它提供了一个可导出的读/写事件记录。此外，它还提供了一个 API 来发送审计事件，以及多种不同的方法供客户查看和提取事件。
对于所有公司，尤其是大型公司而言，监控数据流并及时发现任何数据泄露事件的能力至关重要。
审计日志有助于查明任何信息滥用行为，并确保数据策略得到遵守。

请加星 ⭐ 重绘

[2] Dotenv - Vault

.env 文件的密钥管理器，允许您使用.env单个命令同步文件，使用加密的 .env.vault 文件部署它们，告别分散在多个平台和工具中的密钥。

以下是使用方法的简要说明：

修改你的 .env 文件。
使用以下命令将这些更改推送上去：$ npx dotenv-vault@latest push。
将 .env.vault 文件添加到您的 git 仓库中$ git add .env.vault：
提交更改$ git commit -am "Add .env.vault：
将更改推送到您的 Git 仓库$ git push：

请给点赞⭐ Dot Env

[3]外部秘密

一个集成了外部密钥管理系统的 Kubernetes Operator，例如 AWS Secrets Manager、HashiCorp Vault、Google Secrets Manager、Azure Key Vault、IBM Cloud Secrets Manager 等等。该 Operator 从外部 API 读取信息，并自动将这些值注入到 Kubernetes Secrets 中。

将来自外部 API 的密钥同步到 Kubernetes 中
ESO 是一组自定义 API 资源（ExternalSecret、、SecretStore和ClusterSecretStore），为外部 API 提供用户友好的抽象，该外部 API 为您存储和管理密钥的生命周期。

请给星标 ⭐ 外部秘密

[4]松露猪

扫描所有平台的版本历史记录，查找隐藏的秘密。秘密暴露的范围远不止代码库。

通过各种 TruffleHog 集成（pre-commit hooks、CI 集成等）阻止密钥进入您的平台。
修复工作流程赋予开发人员权力，让他们能够在发现问题时立即修复这些问题，而无需与安全部门合作或对误报进行分类。

使用方法如下：

要扫描 GitHub 仓库，请使用以下命令：trufflehog github --repo=https://github.com/trufflesecurity/test_keys --issue-comments --pr-comments。
要在 Docker 中使用 SSH 身份验证扫描 GitHub 仓库，请使用以下命令：docker run --rm -v "$HOME/.ssh:/root/.ssh:ro" trufflesecurity/trufflehog:latest git ssh://github.com/trufflesecurity/test_keys。

请给松露猪点赞⭐