在主题演讲与会者期间，屏幕上会显示安全徽标。（伊森·米勒/盖蒂图片社摄）

攻击性安全公司Praetorian 周一宣布，它“开源”了其 Nosy Parker 秘密扫描工具的正则表达式 (RegEx) 扫描功能。

Nosy Parker 旨在解决源代码和配置文件中普遍存在的秘密泄露问题，其中密码、API 密钥、访问令牌、非对称私钥和凭证等敏感信息存在于公共存储库中。通过发现这些密钥，攻击者可以获得对公司网络中其他系统的访问密钥。

“自从 Nosy Parker 发布以来，我们一直在客户端环境中发现硬编码的秘密，这些秘密很容易被利用来访问高价值资产，但直到现在，补救建议在程序和基于策略的建议方面都显得乏善可陈，”Anthony Paimany 说, Praetorian 技术总监,

在接下来的几个月里，Praetorian 用户还将有机会探索或列举出现在GitHub和其他公共存储库上的资源。

Deep Instinct 的竞争情报分析师 Jerrod Piker 说，虽然不乏秘密扫描工具，但 Nosy Parker 已经开始让自己与众不同。

首先，最值得注意的是，Piker 表示，Nosy Parker 使用机器学习来成功识别使用模式匹配静态规则集无法识别的秘密，并提供降噪功能以减少误报。此外，Praetorian 目前正在测试深度学习的使用，这是机器学习的下一次迭代，它有望提供更好的信噪比和更快的扫描速度。

“开发人员选择使用建立在自然语言处理前提下的深度学习模型，因为这已被证明与源代码具有高度相关性，”Piker 说。“这个工具集之所以非常有用，是因为它通过将模式匹配与机器学习技术相结合，使扫描和搜索秘密的过程自动化，从而使安全从业者避免基于 RegEx 手动创建模式匹配规则。它不仅加快了流程并使流程自动化，而且比简单的基于规则的模式匹配系统准确得多。”

Viakoo 首席执行官 Bud Broomhead 表示，安全专业人士知道威胁行为者不断梳理 GitHub 等公共软件存储库以获取用户名、密码、API 密钥和其他凭据等秘密——这是在与时间赛跑。Broomhead 表示，Nosy Parker 等工具可以提供更快的速度和自动化，是整体网络防御中极其有价值的部分。

“安全专家应该根据他们自己的系统和代码进行测试，并与其他解决方案进行比较，以确保他们达到他们所寻求的速度、覆盖范围和准确性水平，”Broomhead 说。“随着越来越多的人在家工作，每天都有新的软件工程师进入劳动力市场，自然会有更多的人使用个人 GitHub 存储库来处理可能暴露公司机密的工作项目。培训软件工程师了解在个人存储库上使用秘密扫描解决方案的重要性，可以帮助减少公司凭据被利用的可能性。”