关于Gitxray

Gitxray是一款基于GitHub REST API的网络安全工具，支持利用公共 GitHub REST API 进行OSINT、信息安全取证和安全检测等任务。

Gitxray（Git X-Ray 的缩写）是一款多功能安全工具，专为 GitHub 存储库而设计。它可以用于多种用途，包括 OSINT 和取证。gitxray利用公共 GitHub REST API 来收集信息，否则手动获取这些信息会非常耗时。此外，它还会在非常规的地方寻找信息。

工具要求

requests==2.32.3

工具安装

由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

源码安装

接下来，广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/kulkansecurity/gitxray.git

然后切换到项目目录中，使用pip命令和项目提供的requirements.txt安装该工具所需的其他依赖组件：

cd gitxraypip install -r requirements.txt

PyPI (PIP) 方式

Gitxray在PyPI上可以使用以下方式安装：

pip install gitxray

安装后，只需在命令行中输入以下命令运行 gitxray：

gitxray -h

工具使用

gitxray -o https://github.com/kulkansecurity -v

python3 -m gitxray.gitxray

工具使用样例

查找意外泄露的贡献者资料中的敏感信息，例如装甲 PGP 密钥或密钥名称。

gitxray -r https://github.com/some-org/some-repository -v -f user_input

识别存储库中的威胁行为者。您可以发现共同拥有或共享的帐户，以及检查公共活动以发现假冒的 Stargazer。

gitxray -r https://github.com/some-org/some-repository -v -f keys,association,starred

识别虚假或受感染的存储库。它可以检测被篡改的提交日期以及发布后更新的发布资产等。

gitxray -r https://github.com/some-org/some-repository -v -f warning

取证用例，例如按日期过滤结果以检查事件发生当天还发生了什么。

gitxray -r https://github.com/some-org/some-repository -v -f 2024-09-01

还有更多！在详细模式下运行完整的 X-Ray 以收集大量数据。

gitxray -r https://github.com/some-org/some-repository -v

工具运行截图

许可证协议

本项目的开发与发布遵循AGPL-3.0开源许可协议。

项目地址

Gitxray：【GitHub传送门】

参考资料

https://kulkansecurity.github.io/gitxray/

https://www.gitxray.com/