0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

«Бублик» для параноиков. Вышла утилита, которая проверит, не забыли ли вы пароль в файлах окружения

leer en español

Boost Security Bagel GitHub AWS Azure CI безопасность цепочки поставок
«Бублик» для параноиков. Вышла утилита, которая проверит, не забыли ли вы пароль в файлах окружения
Boost Security Bagel GitHub AWS Azure CI безопасность цепочки поставок

Самое время подчистить цифровые следы, пока до них не добрались посторонние.

image

Компания Boost Security представила новый Open Source инструмент Bagel, ориентированный на проверку рабочих станций разработчиков. Утилита работает через интерфейс командной строки и анализирует конфигурации на macOS, Linux и Windows, помогая выявлять рисковые настройки, которые могут повлиять на безопасность цепочки поставок.

Bagel сканирует локальную среду и формирует структурированный отчёт в формате JSON. В центре внимания — конфигурации Git, SSH и npm, переменные окружения, история команд оболочки, учётные данные облачных сервисов AWS, GCP и Azure, настройки JetBrains IDE, GitHub CLI и CLI-инструментов для ИИ. Программа фиксирует только метаданные — путь к файлу, владельца, права доступа, параметры конфигурации, тип и длину ключа. Содержимое секретов не сохраняется и не передаётся.

Разработчики подчёркивают, что инструмент не внедряется в процессы системы и не выполняет сетевое сканирование. Все проверки проходят в режиме только чтения, а отчёт по умолчанию выводится в стандартный поток. Каждый модуль можно отключить через конфигурационный файл в формате YAML.

Сканирование позволяет обнаружить отключённую проверку SSL в Git, хранение учётных данных в открытом виде, использование небезопасных протоколов, приватные SSH-ключи без парольной фразы, токены в .npmrc, а также секреты в .env-файлах и истории команд. Отдельные детекторы ищут признаки токенов GitHub, ключей облачных провайдеров, JWT и других чувствительных данных по характерным шаблонам и уровню энтропии строки.

Инструмент можно использовать в конвейерах CI. При запуске с флагом строгой проверки сборка завершится с ошибкой, если обнаружены проблемы. Это даёт возможность внедрить базовые требования к конфигурации рабочих станций и снизить риск утечек на стороне разработчиков.

Bagel распространяется в виде готовых сборок для основных платформ, а также доступен исходный код на GitHub. Для сборки требуется Go версии 1.25 и выше. Проект позиционируется как средство повышения прозрачности настроек без вмешательства в данные и рабочие процессы.