Bublik para paranoicos: llega una herramienta que detecta si dejaste tu contraseña en el historial de comandos
Ahora es el momento de limpiar tus rastros digitales antes de que caigan en manos ajenas.
La empresa Boost Security presentó la nueva herramienta de código abierto Bagel, orientada a la comprobación de estaciones de trabajo de desarrolladores. La utilidad funciona mediante una interfaz de línea de comandos y analiza configuraciones en macOS, Linux y Windows, ayudando a detectar configuraciones riesgosas que pueden afectar la seguridad de la cadena de suministro.
Bagel explora el entorno local y genera un informe estructurado en formato JSON. En el centro de atención están las configuraciones de Git, SSH y npm, las variables de entorno, el historial de comandos del shell, las credenciales de los servicios en la nube AWS, GCP y Azure, las configuraciones de IDE de JetBrains, la CLI de GitHub y las herramientas de línea de comandos para IA. El programa registra únicamente metadatos: la ruta al archivo, el propietario, los permisos de acceso, parámetros de configuración, así como el tipo y la longitud de la clave. El contenido de los secretos no se guarda ni se transmite.
Los desarrolladores subrayan que la herramienta no se integra en los procesos del sistema ni realiza exploraciones de red. Todas las comprobaciones se ejecutan en modo de solo lectura, y el informe por defecto se muestra en la salida estándar. Cada módulo puede desactivarse mediante un archivo de configuración en formato YAML.
El escaneo permite detectar la verificación SSL desactivada en Git, el almacenamiento de credenciales en texto claro, el uso de protocolos inseguros, claves SSH privadas sin frase de contraseña, tokens en .npmrc, así como secretos en archivos .env y en el historial de comandos. Detectores individuales buscan signos de tokens de GitHub, claves de proveedores en la nube, JWT y otros datos sensibles según patrones característicos y el nivel de entropía de la cadena.
La herramienta se puede usar en canalizaciones de CI. Al ejecutarla con la bandera de comprobación estricta, la compilación fallará si se detectan problemas. Esto permite implantar requisitos básicos para la configuración de las estaciones de trabajo y reducir el riesgo de filtraciones por parte de los desarrolladores.
Bagel se distribuye en forma de binarios listos para las principales plataformas, y su código fuente también está disponible en GitHub. Para compilar se requiere Go versión 1.25 o superior. El proyecto se presenta como una herramienta para aumentar la transparencia de las configuraciones sin intervenir en los datos ni en los flujos de trabajo.