Les plateformes d'hébergement et de partage de code open source (Github, Gitkab, BitBucket, etc.) constituent le pilier fondamental pour la dissémination et l'organisation des logiciels open source. Elles permettent de structurer le code source, d'orchestrer les contributions, d'organiser le versionnage, de gérer la communauté des contributeurs et de fournir une vitrine essentielle pour tous les projets open source. Exposer son code source au public va dans la démarche du partage open source, mais elle peut exposer son auteur a divulguer des vulnérabilités plus ou moins facile a exploiter par un attaquant. L'une des vulnérabilités les plus courantes et plus faciles a exploiter consiste a laisser les secrets (clefs d'API, Mots de passes, tickets, informations confidentielles etc.) en clair dans le code ou dans l'historique de modification du code. Les conséquences de ce genre de vulnérabilités peuvent se révéler désastreuses pour les entreprises, les organisations et le citoyens. Le cas de Uber en 2016 qui a subi une fuite de données personnelles de 57 millions de leurs clients à cause d'un mot de passe non protégé sur Github en est un exemple flagrant. Dans cette présentation nous allons discuter des raisons qui conduisent à engendrer ce genre de vulnérabilités, des moyens de s'en protéger et des différents outils Open Source permettant de scanner les projets et détecter en amont les risques de divulgation des secrets.

1. PUBLIC
Dr Slim Trabelsi, Marco Rosa, Alaa Ben Fatma - SAP Security Research
November, 2021
Partagez Votre Code et non vos Secrets

2. 2
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
UBER Case

3. 3
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
SolarWinds Case

4. 4
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
 Les standards du développement de code sécurisé ne sont pas appliqués
 Ne jamais laisser un secret en clair dans le code source (Secure vaults, variables d’environnement, etc)
 Les projets internes publiés dans les plateformes privées peuvent fuiter
 Par erreur (push avec le mauvais compte)
 Par méconnaissance (le développeur copie le code sur son compte perso)
 De façon intentionnelle
 Sous traitant / Partenaire
 Les scanners de code traditionnels ne detecteent pas les secrets
Origine du problème

5. 5
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
• Il existe une license corporate appelée GitHub Advanced Security license qui offer ces services
• Code scanning – Recherche de vulnérabilités et erreurs de développement.
• Secret scanning – Detecte les secrets publiés dans le code, par exemple Clefs d’API, jetons de
sécurité, clefs de chiffrements (Mais pas du tout efficace pour les secrets non structurés comme les mots
de passes)
• Dependency review – Evalue le risque et les implications des changements de dépendances dans le
code et vérifie les vulnérabilités dans les librairies externes.
• Est-ce suffisant ? Clairement non !
Ce que propose Github Security ?

6. 6
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
 La plupart des solutions de scan open source et payantes basent leurs système de tedetections
sur l’exécution de règles de types expressions régulières. Certains ajoutent un calcul d’entropie
pour les mots de passes complexes et les clefs non standardisées
 Les expressions régulières sont efficaces pour identifier les secrets structures (RSA Keys, Cloud
API Keys, Standard tokens, etc)
 Mais elles génèrent énormément de faux positifs pour identifier des secrets non structurés
 Selon l’étude que nous avons publiée en début d’année, ce genre de scnners generent à peu
prés 80% de faux positifs.
 Et pour les projets volumineux, filtrer manuellement les 80% de FP peut être très long et
ennuyeux pour un développeur qui va vite laisser tomber.
Le problème des faux positifs

7. 7
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
 Credential Digger is developed to find Passwords, Encryption Keys,
Hashed data, Tokens (cloud APIs), Signatures, e-mail addresses, Users,
internal domains, IP addresses, names.
 Key differentiators with competition: Lowest FP rate in the market
(Patented ML Models), Scan for Public and Private Github, real time
monitoring, Pre-commit hooks
 Internal and external dev community
 Permanent innovation
Credential Digger (Open Source)
https://github.com/SAP/credential-digger

8. 8
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
High Level Architecture
Static Code Scanner
API UI
Organization Monitor
UI
E-Mail
notification
Machine Learning Models

9. 9
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
 Composed by the core Credential Digger Engine:
 Extracts potential secrets from Github, Wiki, Files code projects
 Filter out FP using two ML models (Path Model and Code Snippet Model)
 Classify code snippet according to the similarity model (New Feature)
 Credential Digger UI
Credential Digger Core and Code Scanner

10. 10
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
 A real time monitor that intercepts all the new commits in a Github Organization and identifies
potential secrets
 It sends by e-mail alerts containing:
 Type of secret, link to the code, code snippet, comit-ID, link to create a security ticket
Github Org Monitor

11. 11
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
 Credential Digger genere le taux de FP le plus bas du marché (Open source, Commercial)
 Moins belle UI/UX que les outils commerciaux (Mais vous pouvez nous aider)
 The tool can be used for the corporate and public Github (No internal credential storage)
 L’outil peut être utilise pour le Github publique, Gitub d’entreprise et autres Git platformes.
 Scan de systèmes de fichiers et object stores
 Vous pouvez trouver le code ici https://github.com/SAP/credential-digger
 Pypi https://pypi.org/project/credentialdigger/
Conclusion

12. Thank you.
Contact information:
Slim TRABELSI
Slim.trabelsi@sap.com