В рамках недавнего проекта хакатона я собрал некоторые данные из Данных карты приложений .
Для тех, кто незнаком, платформа App Map представляет собой набор инструментов, который позволяет разработчикам записывать данные во время выполнения из своих приложений. Клиент карты приложений, по сути, агент, отвечает за сбор этих данных из живого приложения. Он выдает файл, содержащий записанный поток выполнения, моментальные снимки данных, ввод-вывод процессов высокого уровня (например, HTTP, SQL-запросы и т. Д.) И некоторые метаданные приложения. Я подумал, что было бы интересным экспериментом определить различные типы доступных данных и обозначить их использование.
Вот что я придумал за два дня: Инспектор картографических данных приложения . Демонстрационная ссылка содержит некоторые примеры данных, так что нет необходимости придумывать свои собственные.
Это доказательство концепции делает некоторую попытку определить следующее:
- Конфиденциальные значения, такие как пароли, токены авторизации
- Зашифрованные значения, такие как хэши паролей
- Незашифрованные значения, которые должны быть зашифрованы
- Данные, сохраненные в базе данных
- Данные, предоставленные пользователем, такие как параметр HTTP-запроса
- Личная информация: SSN, электронная почта, IP-адреса (это может не считаться PII, но я оставил это для подтверждения концепции)
- Данные, записанные в
stdout
Один объект может иметь несколько меток. PII в журналах ваших приложений? О-о-о! Конфиденциальные данные, хранящиеся в вашей базе данных в незашифрованном виде? Упс! Повсюду ссылки на незашифрованные пароли? Может быть, это запах кода…
Я вижу массу потенциальных улучшений для этого проекта, но пока я склонен оставить его в качестве доказательства концепции.
Если у вас есть какие-то собственные идеи, я с удовольствием выслушаю их в комментариях ниже!
Спасибо за чтение!
Оригинал: “https://dev.to/dustinbyrne/uncovering-critical-data-access-using-appmaps-3fn3”