GitLab红队释出敏感资料搜索工具Token-Hunter

GitLab释出敏感资料搜寻工具Token-Hunter，是自家红队（Red Team）所开发的安全工具，让使用者搜寻不小心在公开论坛泄漏的敏感资讯，这些敏感资讯可能是跟随日志或是程式码片段，一起流出的API令牌、使用者账号以及密码等资讯。

由于GitLab想调查那些用户无意共享，但是意外泄露的敏感资讯，会被以什么样的方式用在攻击行动上，但是因为苦无可用的工具，于是GitLab的红队便自己打造了Token-Hunter。红队指得是组织为了要以敌对视角，改善自家服务或是安全性所成立的团队，红队通常能够有效地帮助组织克服偏见并增加解决问题的能力。

不少互联网服务的企业，都以多种形式提供用于身份验证的API令牌，让用户与其系统互动，这些令牌为封闭系统提供可配置的存取控制，无论是开发、DevOps或是基础设施相关人员，都仰赖API令牌来完成工作。

而API令牌却可能在不经意下泄漏，像是在共享环境中建置软件，开发者常犯的错误便是提交API令牌到程式码储存库中，目前已经有常见的工具，诸如gitrob、TruffleHog、gitleaks，甚至是GitLab自家对的SAST专案，都可用来寻找这类在程式码中，无意泄露的敏感资讯。

还有另一种可能泄漏敏感资讯的管道，便是在公共论坛例如GitLab Snippets、Issues与相关讨论区，开发者在讨论过程因共享日志或配置文件，不小心泄漏API令牌、账号与密码等敏感资料，而更糟的情况，是这些资讯可能被恶意使用。

Token-Hunter的目的便是要来解决这样的问题，Token-Hunter会搜寻GitLab Issues与相关的讨论来寻找敏感资料，由于GitLab Issues与评论是开发者共享讯息与解决问题的重要方法之一，开发者时常会张贴日志资料、配置文件或是复制贴上程式码，以便与GitLab员工或是客户讨论，而这些资料有可能包含敏感资料。

Token-Hunter也会搜寻GitLab Snippets寻找敏感资料，在GitLab Snippets中可以透过URL共享程式码片段与文字，方便在GitLab用户间直接分享程式码，而这个功能最常被用来分享配置资料、JavaScript程式码、任何语言的范例程式码以及日志资料，而这些资料都可能包含敏感资讯。

另外，Token-Hunter接受HTTP代理服务器参数，和自签章凭证以解密TLS流量，GitLab红队用这个功能为自家安全营运团队纪录流量模式样本，帮助制定防御政策。而且透过检查工具产生的流量，也可以方便地用于应用程序除错。

官方提到，Token-Hunter与其他工具相比，主要的优点是能够搜寻可能共享敏感资料的讨论区和常见频道。GitLab仍持续改进这项工具，未来将调整输出格式，使结果更容易使用，并加入即时搜寻报告功能，让即便是需要较长时间的搜寻工作，用户也能更快地看到结果。