# Secret Detection und Management Demo

Dieses Notebook demonstriert verschiedene Tools und Techniken f√ºr Secret Detection und Management:

1. **Pre-Commit Hooks** - Lokale Secret Detection vor dem Commit
2. **Gitleaks** - Umfassender Secret-Scanner f√ºr Git-Repositories
3. **git-secret** - Verschl√ºsselte Speicherung von Secrets im Repository

**Lernziele:**
- Verstehen, wie automatisierte Security-Scans Secrets erkennen
- Verschiedene Tools f√ºr Secret Detection kennenlernen
- Best Practices f√ºr Secret Management anwenden

**Hinweis:** Alle Beispiele verwenden Demo-Daten. Niemals echte Credentials verwenden!

## Schritt 1: Setup - Imports und Verzeichnis-Vorbereitung

Zuerst importieren wir alle ben√∂tigten Module und erstellen das `keys/` Verzeichnis f√ºr unsere Demo-Dateien.

In [None]:
import os

# Erstelle das keys-Verzeichnis
keys_dir = "../keys"
os.makedirs(keys_dir, exist_ok=True)
print(f"‚úì Verzeichnis '{keys_dir}' wurde erstellt/existiert bereits")

## Schritt 2: Privaten RSA-Schl√ºssel generieren

Jetzt generieren wir einen 2048-Bit RSA-Schl√ºssel mit OpenSSL. Dies ist ein typischer privater Schl√ºssel, wie er f√ºr SSH, TLS oder andere Verschl√ºsselungszwecke verwendet wird.

**Wichtig:** Solche privaten Schl√ºssel d√ºrfen niemals in ein Git-Repository committet werden!

In [None]:
import subprocess

# Pfad zum Private Key
private_key_path = os.path.join(keys_dir, "myprivatekey.pem")

# OpenSSL-Befehl zum Generieren eines 2048-Bit RSA-Keys
command = ["openssl", "genrsa", "-out", private_key_path, "2048"]

# Befehl ausf√ºhren
result = subprocess.run(command, capture_output=True, text=True)

if result.returncode == 0:
    print(f"‚úì Privater Schl√ºssel wurde erstellt: {private_key_path}")
    print(f"‚úì Dateigr√∂√üe: {os.path.getsize(private_key_path)} Bytes")
else:
    print(f"‚úó Fehler beim Erstellen des Schl√ºssels:")
    print(result.stderr)

## Schritt 4: Inhalt des privaten Schl√ºssels anzeigen

Schauen wir uns die ersten Zeilen des generierten Schl√ºssels an. Ein privater RSA-Schl√ºssel beginnt typischerweise mit `-----BEGIN RSA PRIVATE KEY-----` oder `-----BEGIN PRIVATE KEY-----`.

In [None]:
# Ersten 10 Zeilen des Private Keys anzeigen
with open(private_key_path, 'r') as f:
    lines = f.readlines()
    print("Erste 10 Zeilen des Private Keys:")
    print("=" * 50)
    for i, line in enumerate(lines[:10], 1):
        print(f"{i:2d}: {line}", end="")

## Schritt 5: Pre-Commit Hooks ausf√ºhren

Jetzt f√ºhren wir `poetry run pre-commit run --all-files` aus, um zu pr√ºfen, ob die konfigurierten Pre-Commit Hooks den privaten Schl√ºssel erkennen.

Pre-Commit Hooks k√∂nnen verschiedene Security-Scanner enthalten, wie z.B.:
- **detect-private-key**: Erkennt private SSH/TLS-Schl√ºssel
- **gitleaks**: Findet Secrets, API-Keys, Passw√∂rter
- **trufflehog**: Durchsucht nach hochentropischen Strings

In [None]:
# Zum Projektverzeichnis wechseln und pre-commit ausf√ºhren
project_dir = os.path.abspath("..")

# Pre-Commit ausf√ºhren
precommit_cmd = ["poetry", "run", "pre-commit", "run", "--all-files"]

print("F√ºhre Pre-Commit Hooks aus...")
print(f"Befehl: {' '.join(precommit_cmd)}")
print("=" * 70)

result = subprocess.run(
    precommit_cmd,
    cwd=project_dir,
    capture_output=True,
    text=True
)

# Ausgabe anzeigen
print(result.stdout)
if result.stderr:
    print("STDERR:")
    print(result.stderr)

# Exit Code analysieren
print("=" * 70)
if result.returncode == 0:
    print("‚úì Pre-Commit Hooks wurden erfolgreich durchgef√ºhrt (keine Probleme gefunden)")
else:
    print(f"‚úó Pre-Commit Hooks haben Probleme gefunden (Exit Code: {result.returncode})")
    print("   ‚Üí Dies ist ERW√úNSCHT, da der private Schl√ºssel erkannt werden sollte!")

## Erweiterte Secret Detection mit Gitleaks

**Gitleaks** ist ein modernes Tool zur Erkennung von Secrets, das nicht nur Dateien scannt, sondern auch die gesamte Git-History nach geh√§rdeten Credentials durchsuchen kann.

### Warum Gitleaks?
- Findet Secrets in der kompletten Git-Historie
- Erkennt √ºber 200 verschiedene Secret-Typen (API-Keys, Tokens, Passw√∂rter)
- Kann als Pre-Commit Hook, in CI/CD oder standalone verwendet werden
- Unterst√ºtzt Custom Rules f√ºr firmenspezifische Secrets

## Schritt 6: Gitleaks Installation pr√ºfen

Zuerst pr√ºfen wir, ob Gitleaks bereits installiert ist. Falls nicht, wird die Installationsanleitung angezeigt.

In [None]:
# Gitleaks Installation pr√ºfen
import subprocess
result = subprocess.run(["which", "gitleaks"], capture_output=True, text=True)

if result.returncode == 0:
    print(f"‚úì Gitleaks gefunden: {result.stdout.strip()}")
    
    # Version anzeigen
    version_result = subprocess.run(["gitleaks", "version"], capture_output=True, text=True)
    print(f"  Version: {version_result.stdout.strip()}")
else:
    print("‚úó Gitleaks ist nicht installiert")
    print("\nInstallation unter macOS:")
    print("  brew install gitleaks")
    print("\nInstallation unter Linux:")
    print("  # Download von https://github.com/gitleaks/gitleaks/releases")
    print("\nAlternativ √ºber Go:")
    print("  go install github.com/gitleaks/gitleaks/v8@latest")

## Schritt 7: Test-Datei mit verschiedenen Secrets erstellen

Wir erstellen eine Test-Datei mit verschiedenen Arten von Secrets, die Gitleaks erkennen soll:

In [None]:
import os, sys
# Test-Datei mit verschiedenen Secret-Typen erstellen
test_secrets_file = os.path.join(keys_dir, "test_secrets.py")

# Verschiedene Arten von Secrets (nur f√ºr Demo-Zwecke!)
secrets_content = '''# Test-Datei mit verschiedenen Secret-Typen
# ACHTUNG: Nur f√ºr Demo! Niemals echte Credentials verwenden!

# AWS Access Key
aws_access_key_id = "AKIAIOSFODNN7EXAMPLE"
aws_secret_access_key = "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"

# GitHub Token
github_token = "ghp_abcdefghijklmnopqrstuvwxyz1234567890"

# API Key
api_key = "sk_live_51H2bXYZ1234567890abcdefghijklmnopqrstuvwx"

# Slack Webhook
slack_webhook = "https://hooks.slack.com/services/T00000000/B00000000/XXXXXXXXXXXXXXXXXXXXXXXX"

# Generic Password
database_password = "SuperSecret123!Password"

# JWT Token
jwt_token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c"

# Private SSH Key (partial)
private_key = """-----BEGIN RSA PRIVATE KEY-----
MIIEpAIBAAKCAQEA1234567890abcdefghijklmnopqrstuvwxyz
-----END RSA PRIVATE KEY-----"""
'''

# Verzeichnis erstellen falls nicht vorhanden
os.makedirs(keys_dir, exist_ok=True)

# Datei schreiben
with open(test_secrets_file, 'w') as f:
    f.write(secrets_content)

print(f"‚úì Test-Datei erstellt: {test_secrets_file}")
print(f"  Gr√∂√üe: {os.path.getsize(test_secrets_file)} Bytes")
print(f"  Enth√§lt: AWS Keys, GitHub Token, API Keys, Passw√∂rter, JWT, SSH Key")

## Schritt 8: Gitleaks Scan durchf√ºhren

Jetzt f√ºhren wir einen Gitleaks-Scan auf die Test-Datei aus und sehen, welche Secrets gefunden werden:

In [None]:
# Gitleaks auf das keys-Verzeichnis anwenden
import json

# Pr√ºfen ob gitleaks verf√ºgbar ist
gitleaks_check = subprocess.run(["which", "gitleaks"], capture_output=True)

if gitleaks_check.returncode == 0:
    # Gitleaks Scan durchf√ºhren
    gitleaks_cmd = ["gitleaks", "git", "--report-format", "json", "--report-path", "/tmp/gitleaks-report.json"]
    
    print("F√ºhre Gitleaks-Scan durch...")
    print(f"Befehl: {' '.join(gitleaks_cmd)}")
    print("=" * 70)
    
    result = subprocess.run(gitleaks_cmd, capture_output=True, text=True, cwd="..")
    
    print(result.stdout)
    if result.stderr:
        print(result.stderr)
    
    # Report auslesen falls vorhanden
    report_path = "/tmp/gitleaks-report.json"
    if os.path.exists(report_path):
        with open(report_path, 'r') as f:
            report = json.load(f)
        
        print("\n" + "=" * 70)
        print(f"üîç Gitleaks hat {len(report)} Secret(s) gefunden:")
        print("=" * 70)
        
        for i, finding in enumerate(report, 1):
            print(f"\n{i}. {finding.get('RuleID', 'Unknown Rule')}")
            print(f"   Datei: {finding.get('File', 'Unknown')}")
            print(f"   Zeile: {finding.get('StartLine', '?')}")
            print(f"   Match: {finding.get('Match', 'N/A')[:60]}...")
    else:
        print("\n‚úì Keine Secrets gefunden oder kein Report erstellt")
else:
    print("‚ö†Ô∏è  Gitleaks ist nicht installiert - Schritt wird √ºbersprungen")
    print("   Installation: brew install gitleaks")

---

# Teil 3: Secret Encryption mit git-secret

## Was ist git-secret?

**git-secret** ist ein Tool, das es erm√∂glicht, sensible Dateien verschl√ºsselt im Git-Repository zu speichern. Es nutzt GPG-Verschl√ºsselung, sodass nur autorisierte Teammitglieder die Dateien entschl√ºsseln k√∂nnen.

### Wann ist git-secret n√ºtzlich?
- **Verschl√ºsselte Konfiguration**: `.env`-Dateien, Zertifikate sicher im Repo speichern
- **Team-Kollaboration**: Nur berechtigte Personen k√∂nnen Secrets lesen
- **Audit Trail**: √Ñnderungen an verschl√ºsselten Dateien sind nachvollziehbar
- **Keine externen Services**: Alles bleibt im Git-Repository

## Schritt 8: git-secret Installation pr√ºfen

Git-secret erfordert GPG (GNU Privacy Guard) und das git-secret Tool selbst:

In [None]:
# Pr√ºfe GPG Installation
gpg_check = subprocess.run(["which", "gpg"], capture_output=True, text=True)
if gpg_check.returncode == 0:
    print(f"‚úì GPG gefunden: {gpg_check.stdout.strip()}")
    
    # Version anzeigen
    gpg_version = subprocess.run(["gpg", "--version"], capture_output=True, text=True)
    version_line = gpg_version.stdout.split('\n')[0]
    print(f"  {version_line}")
else:
    print("‚úó GPG ist nicht installiert")
    print("  Installation: brew install gnupg")

print()

# Pr√ºfe git-secret Installation
gitsecret_check = subprocess.run(["which", "git-secret"], capture_output=True, text=True)
if gitsecret_check.returncode == 0:
    print(f"‚úì git-secret gefunden: {gitsecret_check.stdout.strip()}")
    
    # Version anzeigen
    gitsecret_version = subprocess.run(["git-secret", "--version"], capture_output=True, text=True)
    print(f"  Version: {gitsecret_version.stdout.strip()}")
else:
    print("‚úó git-secret ist nicht installiert")
    print("\n  Installation unter macOS:")
    print("    brew install git-secret")
    print("\n  Installation unter Linux:")
    print("    # Debian/Ubuntu")
    print("    apt-get install git-secret")
    print("\n    # Arch Linux")
    print("    pacman -S git-secret")

### Schritt 8.2: git-secret Demo-Workflow

Wir demonstrieren den typischen git-secret Workflow:

1. **GPG-Key erstellen** (f√ºr Demo-Zwecke)
2. **git-secret initialisieren** im Repository
3. **Benutzer hinzuf√ºgen** (mit GPG-Key)
4. **Datei als Secret markieren** und verschl√ºsseln
5. **Datei entschl√ºsseln**

**Hinweis:** Dies ist eine vereinfachte Demo. In der Praxis w√ºrde jedes Teammitglied seinen eigenen GPG-Key verwenden.

In [None]:
# Pr√ºfe ob alle Tools verf√ºgbar sind
tools_available = (
    subprocess.run(["which", "gpg"], capture_output=True).returncode == 0 and
    subprocess.run(["which", "git-secret"], capture_output=True).returncode == 0
)

if tools_available:
    print("‚úì Alle ben√∂tigten Tools sind verf√ºgbar")
    print("\nDemo-Workflow:")
    print("=" * 70)
    
    # 1. Pr√ºfe ob GPG-Keys existieren
    gpg_list = subprocess.run(["gpg", "--list-secret-keys"], capture_output=True, text=True)
    
    if "sec" not in gpg_list.stdout:
        print("\n‚ö†Ô∏è  Kein GPG-Key gefunden. Demo wird √ºbersprungen.")
        print("   Ein GPG-Key kann mit folgendem Befehl erstellt werden:")
        print("   gpg --batch --passphrase '' --quick-gen-key 'Demo User <demo@example.com>' default default never")
    else:
        print("\n‚úì GPG-Keys gefunden:")
        # Extrahiere Key-ID
        lines = gpg_list.stdout.split('\n')
        for line in lines:
            if 'sec' in line or 'uid' in line:
                print(f"  {line.strip()}")
        
        print("\nüìù git-secret Workflow-Befehle:")
        print("=" * 70)
        print("# 1. git-secret initialisieren:")
        print("   git secret init")
        print()
        print("# 2. Benutzer hinzuf√ºgen (mit GPG Key-ID oder E-Mail):")
        print("   git secret tell your.email@example.com")
        print()
        print("# 3. Datei als Secret markieren:")
        print("   git secret add .env")
        print()
        print("# 4. Alle Secrets verschl√ºsseln:")
        print("   git secret hide")
        print()
        print("# 5. Secrets entschl√ºsseln:")
        print("   git secret reveal")
        print()
        print("# 6. Liste aller gesch√ºtzten Dateien:")
        print("   git secret list")
        print()
        print("# 7. Benutzer entfernen:")
        print("   git secret removeperson email@example.com")
        
        print("\n" + "=" * 70)
        print("üí° Wichtig:")
        print("   - Die *.secret Dateien WERDEN ins Repository committed")
        print("   - Die Original-Dateien (.env etc.) sind in .gitignore")
        print("   - Nur Personen mit dem richtigen GPG-Key k√∂nnen entschl√ºsseln")
else:
    print("‚ö†Ô∏è  GPG oder git-secret nicht installiert - Demo wird √ºbersprungen")
    print("\n  Installation:")
    print("    brew install gnupg git-secret")

---

# Vergleich und Best Practices

## Vergleich: Pre-Commit Hooks vs. Gitleaks vs. git-secret

Jedes Tool hat seine St√§rken und spezifischen Anwendungsf√§lle:

### üõ°Ô∏è Pre-Commit Hooks (detect-private-key, detect-aws-credentials)
**Wann verwenden:**
- Basis-Schutz vor versehentlichem Commit von Secrets
- Schnelle lokale Pr√ºfung vor jedem Commit
- Einfache Integration ohne zus√§tzliche Tools

**Vorteile:**
‚úÖ Sehr schnell (nur ge√§nderte Dateien)  
‚úÖ In pre-commit Framework integriert  
‚úÖ Blockiert Commits automatisch  
‚úÖ Keine externe Installation n√∂tig

**Nachteile:**
‚ùå Begrenzte Erkennungsregeln  
‚ùå Keine Historie-Scans  
‚ùå Kann umgangen werden (--no-verify / SKIP)

---

### üîç Gitleaks
**Wann verwenden:**
- Umfassende Secret-Detection √ºber 200+ Typen
- Scannen der kompletten Git-Historie
- CI/CD-Integration f√ºr automatische Pr√ºfungen
- Audit und Compliance-Anforderungen

**Vorteile:**
‚úÖ Sehr umfangreiche Erkennungsmuster  
‚úÖ Scannt komplette Git-Historie  
‚úÖ JSON/SARIF-Reports f√ºr CI/CD  
‚úÖ Custom Rules m√∂glich  
‚úÖ Baseline-Support (False Positives ignorieren)

**Nachteile:**
‚ùå Langsamer als Pre-Commit (komplette Historie)  
‚ùå Requires separate installation  
‚ùå Kann False Positives erzeugen

---

### üîê git-secret
**Wann verwenden:**
- Legitime Secrets M√úSSEN ins Repository
- Team braucht Zugriff auf geteilte Credentials
- Konfigurationsdateien mit sensiblen Daten
- Alternative zu externen Secret-Management-Tools

**Vorteile:**
‚úÖ Secrets sicher im Repository speichern  
‚úÖ GPG-Verschl√ºsselung (battle-tested)  
‚úÖ Keine Cloud-Abh√§ngigkeit  
‚úÖ Git-native L√∂sung  
‚úÖ Granulare Zugriffskontrolle

**Nachteile:**
‚ùå GPG-Key-Management komplex  
‚ùå Jedes Teammitglied braucht Zugriff  
‚ùå Bei Key-Verlust: alle Secrets re-encrypten  
‚ùå Nicht f√ºr hochsensible Production-Secrets

---

## üéØ Empfohlene Strategie: Defense in Depth

Kombiniere mehrere Tools f√ºr maximale Sicherheit:

```
1. Development:  Pre-Commit Hooks (schnell, lokal)
2. CI/CD:        Gitleaks (vollst√§ndig, Historie)
3. Storage:      git-secret (nur f√ºr geteilte Configs)
4. Production:   HashiCorp Vault / AWS Secrets Manager
```

### Workflow-Beispiel:
```bash
# 1. Lokale Entwicklung mit Pre-Commit
git add .
git commit -m "feature"  # Pre-Commit pr√ºft automatisch

# 2. CI/CD Pipeline
# GitHub Actions f√ºhrt Gitleaks aus
# Falls Secret gefunden: Build fails

# 3. Geteilte Configs mit git-secret
git secret hide          # Verschl√ºsseln vor Commit
git push

# 4. Production Secrets extern
export DB_PASSWORD=$(vault read secret/db/password)
```

### Best Practices f√ºr Secret Management:

‚úÖ **DO:**
- Pre-Commit Hooks f√ºr alle Entwickler aktivieren
- Secrets in Umgebungsvariablen oder Secret-Management-Tools speichern
- `.gitignore` f√ºr sensible Dateien und Verzeichnisse pflegen
- Regelm√§√üige Security-Scans im CI/CD durchf√ºhren
- Secrets rotieren bei Verdacht auf Kompromittierung

‚ùå **DON'T:**
- Niemals Secrets direkt im Code hardcoden
- Keine API-Keys, Passw√∂rter oder Private Keys committen
- Keine Secrets in Commit-Messages oder Kommentaren
- Nicht auf "wird schon niemand sehen" vertrauen
- Keine echten Production-Credentials in Dev/Test verwenden

---

# Cleanup: Aufr√§umen aller Test-Dateien

Zum Abschluss entfernen wir alle erstellten Test-Dateien und Verzeichnisse, um sicherzustellen, dass keine Secrets versehentlich im Repository verbleiben.

In [None]:
# Alle Test-Dateien und tempor√§ren Dateien aufr√§umen
files_to_cleanup = [
    private_key_path,
    test_secrets_file,
    report_path
]

print("üßπ Aufr√§umen aller Test-Dateien:")
print("=" * 70)

cleaned_files = 0
for file_path in files_to_cleanup:
    if os.path.exists(file_path):
        try:
            os.remove(file_path)
            print(f"‚úì Gel√∂scht: {file_path}")
            cleaned_files += 1
        except Exception as e:
            print(f"‚úó Fehler beim L√∂schen von {file_path}: {e}")
    else:
        print(f"  Nicht vorhanden: {file_path}")

# keys-Verzeichnis entfernen falls leer
if os.path.exists(keys_dir):
    try:
        remaining_files = os.listdir(keys_dir)
        if not remaining_files:
            os.rmdir(keys_dir)
            print(f"‚úì Leeres Verzeichnis entfernt: {keys_dir}")
        else:
            print(f"‚ÑπÔ∏è  Verzeichnis nicht leer ({len(remaining_files)} Datei(en)): {keys_dir}")
            print(f"   Verbliebene Dateien: {', '.join(remaining_files[:3])}")
    except Exception as e:
        print(f"‚úó Fehler beim Entfernen von {keys_dir}: {e}")
else:
    print(f"  Verzeichnis existiert nicht: {keys_dir}")

print("\n" + "=" * 70)
print(f"‚úÖ Aufr√§umen abgeschlossen - {cleaned_files} Datei(en) gel√∂scht")
print("\nüí° Hinweis: Stellen Sie sicher, dass {keys_dir} in .gitignore ist!")

---

## üéì Zusammenfassung

In diesem Notebook haben wir gelernt:

### Durchgef√ºhrte Demos:
1. ‚úÖ **Pre-Commit Hooks** - Automatische Erkennung von Private Keys
2. ‚úÖ **Gitleaks** - Umfassender Scan verschiedener Secret-Typen
3. ‚úÖ **git-secret** - Konzept der verschl√ºsselten Secret-Speicherung

### Key Takeaways:
- **Mehrschichtige Sicherheit**: Kombiniere mehrere Tools f√ºr Defense in Depth
- **Automatisierung ist essentiell**: Menschen machen Fehler, Tools nicht
- **Prevention > Detection**: Verhindere Secrets bevor sie ins Repository gelangen
- **Niemals echte Secrets in Git**: Auch nicht verschl√ºsselt (f√ºr Production)

### N√§chste Schritte:
1. Pre-Commit Hooks in eigenen Projekten aktivieren
2. Gitleaks in CI/CD-Pipeline integrieren
3. F√ºr Production-Secrets: HashiCorp Vault, AWS Secrets Manager oder Azure Key Vault verwenden
4. `.gitignore` und `.gitsecret` Dateien pflegen

### Weiterf√ºhrende Ressourcen:
- üìö [Gitleaks Documentation](https://github.com/gitleaks/gitleaks)
- üìö [git-secret Documentation](https://git-secret.io/)
- üìö [Pre-Commit Framework](https://pre-commit.com/)
- üìö [OWASP Secret Management Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/Secrets_Management_Cheat_Sheet.html)