SlideShare une entreprise Scribd logo
PUBLIC
Dr Slim Trabelsi, Marco Rosa, Alaa Ben Fatma - SAP Security Research
November, 2021
Partagez Votre Code et non vos Secrets
2
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
UBER Case
3
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
SolarWinds Case
4
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
 Les standards du développement de code sécurisé ne sont pas appliqués
 Ne jamais laisser un secret en clair dans le code source (Secure vaults, variables d’environnement, etc)
 Les projets internes publiés dans les plateformes privées peuvent fuiter
 Par erreur (push avec le mauvais compte)
 Par méconnaissance (le développeur copie le code sur son compte perso)
 De façon intentionnelle
 Sous traitant / Partenaire
 Les scanners de code traditionnels ne detecteent pas les secrets
Origine du problème
5
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
• Il existe une license corporate appelée GitHub Advanced Security license qui offer ces services
• Code scanning – Recherche de vulnérabilités et erreurs de développement.
• Secret scanning – Detecte les secrets publiés dans le code, par exemple Clefs d’API, jetons de
sécurité, clefs de chiffrements (Mais pas du tout efficace pour les secrets non structurés comme les mots
de passes)
• Dependency review – Evalue le risque et les implications des changements de dépendances dans le
code et vérifie les vulnérabilités dans les librairies externes.
• Est-ce suffisant ? Clairement non !
Ce que propose Github Security ?
6
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
 La plupart des solutions de scan open source et payantes basent leurs système de tedetections
sur l’exécution de règles de types expressions régulières. Certains ajoutent un calcul d’entropie
pour les mots de passes complexes et les clefs non standardisées
 Les expressions régulières sont efficaces pour identifier les secrets structures (RSA Keys, Cloud
API Keys, Standard tokens, etc)
 Mais elles génèrent énormément de faux positifs pour identifier des secrets non structurés
 Selon l’étude que nous avons publiée en début d’année, ce genre de scnners generent à peu
prés 80% de faux positifs.
 Et pour les projets volumineux, filtrer manuellement les 80% de FP peut être très long et
ennuyeux pour un développeur qui va vite laisser tomber.
Le problème des faux positifs
7
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
 Credential Digger is developed to find Passwords, Encryption Keys,
Hashed data, Tokens (cloud APIs), Signatures, e-mail addresses, Users,
internal domains, IP addresses, names.
 Key differentiators with competition: Lowest FP rate in the market
(Patented ML Models), Scan for Public and Private Github, real time
monitoring, Pre-commit hooks
 Internal and external dev community
 Permanent innovation
Credential Digger (Open Source)
https://github.com/SAP/credential-digger
8
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
High Level Architecture
Static Code Scanner
API UI
Organization Monitor
UI
E-Mail
notification
Machine Learning Models
9
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
 Composed by the core Credential Digger Engine:
 Extracts potential secrets from Github, Wiki, Files code projects
 Filter out FP using two ML models (Path Model and Code Snippet Model)
 Classify code snippet according to the similarity model (New Feature)
 Credential Digger UI
Credential Digger Core and Code Scanner
10
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
 A real time monitor that intercepts all the new commits in a Github Organization and identifies
potential secrets
 It sends by e-mail alerts containing:
 Type of secret, link to the code, code snippet, comit-ID, link to create a security ticket
Github Org Monitor
11
PUBLIC
© 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ
 Credential Digger genere le taux de FP le plus bas du marché (Open source, Commercial)
 Moins belle UI/UX que les outils commerciaux (Mais vous pouvez nous aider)
 The tool can be used for the corporate and public Github (No internal credential storage)
 L’outil peut être utilise pour le Github publique, Gitub d’entreprise et autres Git platformes.
 Scan de systèmes de fichiers et object stores
 Vous pouvez trouver le code ici https://github.com/SAP/credential-digger
 Pypi https://pypi.org/project/credentialdigger/
Conclusion
Thank you.
Contact information:
Slim TRABELSI
Slim.trabelsi@sap.com

Contenu connexe

Similaire à Partagez votre code et non vos secrets

Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
Antonio Fontes
 
Développement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyDéveloppement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP Fortify
Microsoft
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
Sébastien GIORIA
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
Cyber Security Alliance
 
No code low code
No code low codeNo code low code
No code low code
Hugo Budillon Rabatel
 
Open Source et Cloud Computing
Open Source et Cloud ComputingOpen Source et Cloud Computing
Open Source et Cloud Computing
Paris, France
 
Séminaire Sécurité Linagora mai 2009
Séminaire Sécurité Linagora mai 2009Séminaire Sécurité Linagora mai 2009
Séminaire Sécurité Linagora mai 2009
LINAGORA
 
Paris Web 2015 - Atelier désendettement Javascript legacy
Paris Web 2015 - Atelier désendettement Javascript legacyParis Web 2015 - Atelier désendettement Javascript legacy
Paris Web 2015 - Atelier désendettement Javascript legacy
François Petitit
 
IPTECH CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018
IPTECH  CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018IPTECH  CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018
IPTECH CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018
. WATCOM
 
Captronic grenoble 01102014 version presentee
Captronic grenoble 01102014 version presenteeCaptronic grenoble 01102014 version presentee
Captronic grenoble 01102014 version presentee
Patrick MOREAU
 
Utilisation de git avec Delphi
Utilisation de git avec DelphiUtilisation de git avec Delphi
Utilisation de git avec Delphi
pprem
 
Atelier hadoop-single-sign-on
Atelier hadoop-single-sign-onAtelier hadoop-single-sign-on
Atelier hadoop-single-sign-on
sahar dridi
 
Séminaire LinID/LinPKI septembre 2011
Séminaire LinID/LinPKI septembre 2011Séminaire LinID/LinPKI septembre 2011
Séminaire LinID/LinPKI septembre 2011
LINAGORA
 
Usine Logicielle 2013
Usine Logicielle 2013Usine Logicielle 2013
Usine Logicielle 2013
Stéphane Liétard
 
La Meta-programmation
La Meta-programmation La Meta-programmation
La Meta-programmation
Microsoft
 
La Duck Conf - "L'API Management : au-délà des promesses"
La Duck Conf - "L'API Management : au-délà des promesses" La Duck Conf - "L'API Management : au-délà des promesses"
La Duck Conf - "L'API Management : au-délà des promesses"
OCTO Technology
 
Quantum computing & cyber securite
Quantum computing & cyber securiteQuantum computing & cyber securite
Quantum computing & cyber securite
Estelle Auberix
 
CocoaHeads Rennes #6
CocoaHeads Rennes #6CocoaHeads Rennes #6
CocoaHeads Rennes #6
CocoaHeadsRNS
 
Fiche Produit Verteego Data Suite, mars 2017
Fiche Produit Verteego Data Suite, mars 2017Fiche Produit Verteego Data Suite, mars 2017
Fiche Produit Verteego Data Suite, mars 2017
Jeremy Fain
 

Similaire à Partagez votre code et non vos secrets (20)

Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
Développement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyDéveloppement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP Fortify
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
 
No code low code
No code low codeNo code low code
No code low code
 
Open Source et Cloud Computing
Open Source et Cloud ComputingOpen Source et Cloud Computing
Open Source et Cloud Computing
 
Séminaire Sécurité Linagora mai 2009
Séminaire Sécurité Linagora mai 2009Séminaire Sécurité Linagora mai 2009
Séminaire Sécurité Linagora mai 2009
 
Paris Web 2015 - Atelier désendettement Javascript legacy
Paris Web 2015 - Atelier désendettement Javascript legacyParis Web 2015 - Atelier désendettement Javascript legacy
Paris Web 2015 - Atelier désendettement Javascript legacy
 
IPTECH CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018
IPTECH  CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018IPTECH  CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018
IPTECH CATALOGUE DES SUJETS PFE POUR L'ANNÉE 2018
 
Captronic grenoble 01102014 version presentee
Captronic grenoble 01102014 version presenteeCaptronic grenoble 01102014 version presentee
Captronic grenoble 01102014 version presentee
 
Utilisation de git avec Delphi
Utilisation de git avec DelphiUtilisation de git avec Delphi
Utilisation de git avec Delphi
 
Atelier hadoop-single-sign-on
Atelier hadoop-single-sign-onAtelier hadoop-single-sign-on
Atelier hadoop-single-sign-on
 
Séminaire LinID/LinPKI septembre 2011
Séminaire LinID/LinPKI septembre 2011Séminaire LinID/LinPKI septembre 2011
Séminaire LinID/LinPKI septembre 2011
 
Usine Logicielle 2013
Usine Logicielle 2013Usine Logicielle 2013
Usine Logicielle 2013
 
La Meta-programmation
La Meta-programmation La Meta-programmation
La Meta-programmation
 
La Duck Conf - "L'API Management : au-délà des promesses"
La Duck Conf - "L'API Management : au-délà des promesses" La Duck Conf - "L'API Management : au-délà des promesses"
La Duck Conf - "L'API Management : au-délà des promesses"
 
Quantum computing & cyber securite
Quantum computing & cyber securiteQuantum computing & cyber securite
Quantum computing & cyber securite
 
CocoaHeads Rennes #6
CocoaHeads Rennes #6CocoaHeads Rennes #6
CocoaHeads Rennes #6
 
Fiche Produit Verteego Data Suite, mars 2017
Fiche Produit Verteego Data Suite, mars 2017Fiche Produit Verteego Data Suite, mars 2017
Fiche Produit Verteego Data Suite, mars 2017
 

Plus de Open Source Experience

GAFAM or not GAFAM dans les collectivités
GAFAM or not GAFAM dans les collectivitésGAFAM or not GAFAM dans les collectivités
GAFAM or not GAFAM dans les collectivités
Open Source Experience
 
API != REST - procmail à la rescousse
API != REST - procmail à la rescousseAPI != REST - procmail à la rescousse
API != REST - procmail à la rescousse
Open Source Experience
 
Vous souhaitez passer votre projet en open source ?
Vous souhaitez passer votre projet en open source ?Vous souhaitez passer votre projet en open source ?
Vous souhaitez passer votre projet en open source ?
Open Source Experience
 
Évolutions de la gouvernance des projets libres
Évolutions de la gouvernance des projets libresÉvolutions de la gouvernance des projets libres
Évolutions de la gouvernance des projets libres
Open Source Experience
 
Data in Motion : un enjeu pour la modernisation des systèmes d'information
Data in Motion : un enjeu pour la modernisation des systèmes d'informationData in Motion : un enjeu pour la modernisation des systèmes d'information
Data in Motion : un enjeu pour la modernisation des systèmes d'information
Open Source Experience
 
Gérer vos clusters Kubernetes avec Flux 2 et la méthode GitOps
Gérer vos clusters Kubernetes avec Flux 2 et la méthode GitOpsGérer vos clusters Kubernetes avec Flux 2 et la méthode GitOps
Gérer vos clusters Kubernetes avec Flux 2 et la méthode GitOps
Open Source Experience
 
Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...
Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...
Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...
Open Source Experience
 
La montée en puissance de l’infrastructure ouverte
La montée en puissance de l’infrastructure ouverteLa montée en puissance de l’infrastructure ouverte
La montée en puissance de l’infrastructure ouverte
Open Source Experience
 
Mon application web en 20 minutes
Mon application web en 20 minutesMon application web en 20 minutes
Mon application web en 20 minutes
Open Source Experience
 
L’Open Science au service des personnes atteintes d’épilepsie
L’Open Science au service des personnes atteintes d’épilepsieL’Open Science au service des personnes atteintes d’épilepsie
L’Open Science au service des personnes atteintes d’épilepsie
Open Source Experience
 
Une infrastructure Cloud et une solution IDaaS 100% libres
Une infrastructure Cloud et une solution IDaaS 100% libresUne infrastructure Cloud et une solution IDaaS 100% libres
Une infrastructure Cloud et une solution IDaaS 100% libres
Open Source Experience
 
Impliquer des contributeurs externes dans son projet open source
Impliquer des contributeurs externes dans son projet open sourceImpliquer des contributeurs externes dans son projet open source
Impliquer des contributeurs externes dans son projet open source
Open Source Experience
 
Conseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenacesConseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenaces
Open Source Experience
 
AliceVision : pipeline de reconstruction 3D open source
AliceVision : pipeline de reconstruction 3D open sourceAliceVision : pipeline de reconstruction 3D open source
AliceVision : pipeline de reconstruction 3D open source
Open Source Experience
 
Analyse de la composition logicielle à l’aide d’outils open source
Analyse de la composition logicielle à l’aide d’outils open sourceAnalyse de la composition logicielle à l’aide d’outils open source
Analyse de la composition logicielle à l’aide d’outils open source
Open Source Experience
 
E-commerce en 2021 : grandes tendances technologiques dans le développement d...
E-commerce en 2021 : grandes tendances technologiques dans le développement d...E-commerce en 2021 : grandes tendances technologiques dans le développement d...
E-commerce en 2021 : grandes tendances technologiques dans le développement d...
Open Source Experience
 
Démo : comment sécuriser des milliers de serveurs gratuitement
Démo : comment sécuriser des milliers de serveurs gratuitementDémo : comment sécuriser des milliers de serveurs gratuitement
Démo : comment sécuriser des milliers de serveurs gratuitement
Open Source Experience
 
GNU/Linux ou Android comme système d'exploitation embarqué ?
GNU/Linux ou Android comme système d'exploitation embarqué ?GNU/Linux ou Android comme système d'exploitation embarqué ?
GNU/Linux ou Android comme système d'exploitation embarqué ?
Open Source Experience
 
Démystifier les architectures orientées événements avec Apache Kafka
Démystifier les architectures orientées événements avec Apache KafkaDémystifier les architectures orientées événements avec Apache Kafka
Démystifier les architectures orientées événements avec Apache Kafka
Open Source Experience
 
Badge des bonnes pratiques OpenSSF de la CII
Badge des bonnes pratiques OpenSSF de la CIIBadge des bonnes pratiques OpenSSF de la CII
Badge des bonnes pratiques OpenSSF de la CII
Open Source Experience
 

Plus de Open Source Experience (20)

GAFAM or not GAFAM dans les collectivités
GAFAM or not GAFAM dans les collectivitésGAFAM or not GAFAM dans les collectivités
GAFAM or not GAFAM dans les collectivités
 
API != REST - procmail à la rescousse
API != REST - procmail à la rescousseAPI != REST - procmail à la rescousse
API != REST - procmail à la rescousse
 
Vous souhaitez passer votre projet en open source ?
Vous souhaitez passer votre projet en open source ?Vous souhaitez passer votre projet en open source ?
Vous souhaitez passer votre projet en open source ?
 
Évolutions de la gouvernance des projets libres
Évolutions de la gouvernance des projets libresÉvolutions de la gouvernance des projets libres
Évolutions de la gouvernance des projets libres
 
Data in Motion : un enjeu pour la modernisation des systèmes d'information
Data in Motion : un enjeu pour la modernisation des systèmes d'informationData in Motion : un enjeu pour la modernisation des systèmes d'information
Data in Motion : un enjeu pour la modernisation des systèmes d'information
 
Gérer vos clusters Kubernetes avec Flux 2 et la méthode GitOps
Gérer vos clusters Kubernetes avec Flux 2 et la méthode GitOpsGérer vos clusters Kubernetes avec Flux 2 et la méthode GitOps
Gérer vos clusters Kubernetes avec Flux 2 et la méthode GitOps
 
Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...
Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...
Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...
 
La montée en puissance de l’infrastructure ouverte
La montée en puissance de l’infrastructure ouverteLa montée en puissance de l’infrastructure ouverte
La montée en puissance de l’infrastructure ouverte
 
Mon application web en 20 minutes
Mon application web en 20 minutesMon application web en 20 minutes
Mon application web en 20 minutes
 
L’Open Science au service des personnes atteintes d’épilepsie
L’Open Science au service des personnes atteintes d’épilepsieL’Open Science au service des personnes atteintes d’épilepsie
L’Open Science au service des personnes atteintes d’épilepsie
 
Une infrastructure Cloud et une solution IDaaS 100% libres
Une infrastructure Cloud et une solution IDaaS 100% libresUne infrastructure Cloud et une solution IDaaS 100% libres
Une infrastructure Cloud et une solution IDaaS 100% libres
 
Impliquer des contributeurs externes dans son projet open source
Impliquer des contributeurs externes dans son projet open sourceImpliquer des contributeurs externes dans son projet open source
Impliquer des contributeurs externes dans son projet open source
 
Conseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenacesConseils de survie pour hiérarchiser les cybermenaces
Conseils de survie pour hiérarchiser les cybermenaces
 
AliceVision : pipeline de reconstruction 3D open source
AliceVision : pipeline de reconstruction 3D open sourceAliceVision : pipeline de reconstruction 3D open source
AliceVision : pipeline de reconstruction 3D open source
 
Analyse de la composition logicielle à l’aide d’outils open source
Analyse de la composition logicielle à l’aide d’outils open sourceAnalyse de la composition logicielle à l’aide d’outils open source
Analyse de la composition logicielle à l’aide d’outils open source
 
E-commerce en 2021 : grandes tendances technologiques dans le développement d...
E-commerce en 2021 : grandes tendances technologiques dans le développement d...E-commerce en 2021 : grandes tendances technologiques dans le développement d...
E-commerce en 2021 : grandes tendances technologiques dans le développement d...
 
Démo : comment sécuriser des milliers de serveurs gratuitement
Démo : comment sécuriser des milliers de serveurs gratuitementDémo : comment sécuriser des milliers de serveurs gratuitement
Démo : comment sécuriser des milliers de serveurs gratuitement
 
GNU/Linux ou Android comme système d'exploitation embarqué ?
GNU/Linux ou Android comme système d'exploitation embarqué ?GNU/Linux ou Android comme système d'exploitation embarqué ?
GNU/Linux ou Android comme système d'exploitation embarqué ?
 
Démystifier les architectures orientées événements avec Apache Kafka
Démystifier les architectures orientées événements avec Apache KafkaDémystifier les architectures orientées événements avec Apache Kafka
Démystifier les architectures orientées événements avec Apache Kafka
 
Badge des bonnes pratiques OpenSSF de la CII
Badge des bonnes pratiques OpenSSF de la CIIBadge des bonnes pratiques OpenSSF de la CII
Badge des bonnes pratiques OpenSSF de la CII
 

Partagez votre code et non vos secrets

  • 1. PUBLIC Dr Slim Trabelsi, Marco Rosa, Alaa Ben Fatma - SAP Security Research November, 2021 Partagez Votre Code et non vos Secrets
  • 2. 2 PUBLIC © 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ UBER Case
  • 3. 3 PUBLIC © 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ SolarWinds Case
  • 4. 4 PUBLIC © 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ  Les standards du développement de code sécurisé ne sont pas appliqués  Ne jamais laisser un secret en clair dans le code source (Secure vaults, variables d’environnement, etc)  Les projets internes publiés dans les plateformes privées peuvent fuiter  Par erreur (push avec le mauvais compte)  Par méconnaissance (le développeur copie le code sur son compte perso)  De façon intentionnelle  Sous traitant / Partenaire  Les scanners de code traditionnels ne detecteent pas les secrets Origine du problème
  • 5. 5 PUBLIC © 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ • Il existe une license corporate appelée GitHub Advanced Security license qui offer ces services • Code scanning – Recherche de vulnérabilités et erreurs de développement. • Secret scanning – Detecte les secrets publiés dans le code, par exemple Clefs d’API, jetons de sécurité, clefs de chiffrements (Mais pas du tout efficace pour les secrets non structurés comme les mots de passes) • Dependency review – Evalue le risque et les implications des changements de dépendances dans le code et vérifie les vulnérabilités dans les librairies externes. • Est-ce suffisant ? Clairement non ! Ce que propose Github Security ?
  • 6. 6 PUBLIC © 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ  La plupart des solutions de scan open source et payantes basent leurs système de tedetections sur l’exécution de règles de types expressions régulières. Certains ajoutent un calcul d’entropie pour les mots de passes complexes et les clefs non standardisées  Les expressions régulières sont efficaces pour identifier les secrets structures (RSA Keys, Cloud API Keys, Standard tokens, etc)  Mais elles génèrent énormément de faux positifs pour identifier des secrets non structurés  Selon l’étude que nous avons publiée en début d’année, ce genre de scnners generent à peu prés 80% de faux positifs.  Et pour les projets volumineux, filtrer manuellement les 80% de FP peut être très long et ennuyeux pour un développeur qui va vite laisser tomber. Le problème des faux positifs
  • 7. 7 PUBLIC © 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ  Credential Digger is developed to find Passwords, Encryption Keys, Hashed data, Tokens (cloud APIs), Signatures, e-mail addresses, Users, internal domains, IP addresses, names.  Key differentiators with competition: Lowest FP rate in the market (Patented ML Models), Scan for Public and Private Github, real time monitoring, Pre-commit hooks  Internal and external dev community  Permanent innovation Credential Digger (Open Source) https://github.com/SAP/credential-digger
  • 8. 8 PUBLIC © 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ High Level Architecture Static Code Scanner API UI Organization Monitor UI E-Mail notification Machine Learning Models
  • 9. 9 PUBLIC © 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ  Composed by the core Credential Digger Engine:  Extracts potential secrets from Github, Wiki, Files code projects  Filter out FP using two ML models (Path Model and Code Snippet Model)  Classify code snippet according to the similarity model (New Feature)  Credential Digger UI Credential Digger Core and Code Scanner
  • 10. 10 PUBLIC © 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ  A real time monitor that intercepts all the new commits in a Github Organization and identifies potential secrets  It sends by e-mail alerts containing:  Type of secret, link to the code, code snippet, comit-ID, link to create a security ticket Github Org Monitor
  • 11. 11 PUBLIC © 2021 SAP SE or an SAP affiliate company. All rights reserved. ǀ  Credential Digger genere le taux de FP le plus bas du marché (Open source, Commercial)  Moins belle UI/UX que les outils commerciaux (Mais vous pouvez nous aider)  The tool can be used for the corporate and public Github (No internal credential storage)  L’outil peut être utilise pour le Github publique, Gitub d’entreprise et autres Git platformes.  Scan de systèmes de fichiers et object stores  Vous pouvez trouver le code ici https://github.com/SAP/credential-digger  Pypi https://pypi.org/project/credentialdigger/ Conclusion
  • 12. Thank you. Contact information: Slim TRABELSI Slim.trabelsi@sap.com