master_list.yaml

   1 ---
   2 # This file uses standard regular expression syntax,  however be mindful
   3 # of escaping YAML delimiters too (such as `:`) using double quotes "".
   4
   5 binaries:
   6   binary_ignore:
   7     - \.git/(index|objects)
   8
   9 file_audits:
  10   file_names:
  11     - \.asc
  12     - \.gpg
  13     - \.key
  14     - \.md(2|3|4|5)
  15     - \.sha1
  16     - \.sig
  17     - \.pcap
  18     - \.kdb
  19     - \.pypirc
  20     - \.pem
  21     - \.cer
  22     - \.der
  23     - \.crt
  24     - \.crl
  25     - \.p7b
  26     - \.p7r
  27     - \.spc
  28     - \.sst
  29     - \.stl
  30     - \.pfx
  31     - \.p12
  32     - _rsa
  33     - _dsa
  34     - (irb|plsq|mysql|bash|zsh)_history
  35     - (zsh|bash)rc-secrets
  36     - \.vimrc
  37     - \.gem\/credentials
  38     - configuration\.user\.xpl
  39     - \.dockercfg
  40     - \.npmrc
  41     - key(store|ring)
  42     - ovpn
  43     - secret_token\.rb
  44     - omniauth\.rb
  45     - carrierwave\.rb
  46     - schema\.rb
  47     - database\.yml
  48     - settings\.py
  49     - keychain
  50     - backup
  51     - credentials\.xml
  52     - htpasswd
  53     - kwallet
  54     - aws_access_key_id
  55     - aws_secret_access_key
  56
  57   file_contents:
  58     private_key:
  59       regex: -----BEGIN\sRSA\sPRIVATE\sKEY----
  60       desc: "This looks like it could be a private key"
  61
  62     password:
  63       regex: (password|passwd)(.*:|.*=.*)
  64       desc: "Possible hardcoded password"
  65
  66     curl:
  67       regex: \bcurl\b
  68       desc: "Curl can be used for retrieving objects from untrusted sources"
  69
  70     clone:
  71       regex: git.*clone
  72       desc: "clone blocked as using an non approved external source"
  73
  74     dual_ec_drbg:
  75       regex: dual_ec_drbg
  76       desc: "Insecure cryptographic algorithm"
  77
  78     base64_decode:
  79       regex: base64_decode
  80       desc: "Insecure cryptographic algorithm"
  81
  82     gost:
  83       regex: gost
  84       desc: "Insecure cryptographic algorithm"
  85
  86     md245:
  87       regex: md[245]
  88       desc: "Insecure hashing algorithm"
  89
  90     panama:
  91       regex: panama
  92       desc: "Insecure cryptographic algorithm"
  93
  94     private_key2:
  95       regex: private_key
  96       desc: "This looks like it could be a private key"
  97
  98     rc4:
  99       regex: rc4
 100       desc: "Rivest Cipher 4 is an insecure stream cipher"
 101
 102     ripemd:
 103       regex: ripemd
 104       desc: |
 105         "RACE Integrity Primitives Evaluation Message Digest
 106         is an insecure hashing algorithm"
 107
 108     secret:
 109       regex: secret
 110       desc: "Possible leak of sensitive information"
 111
 112     sha:
 113       regex: sha[01]
 114       desc: "Insecure hashing algorithm"
 115
 116     snefru:
 117       regex: snefru
 118       desc: "Insecure hashing algorithm"
 119
 120     ssh_key:
 121       regex: ssh_key
 122       desc: "Possible leak of private SSH key"
 123
 124     sslv:
 125       regex: sslv[12]
 126       desc: "Insecure SSL Version"
 127
 128     streebog:
 129       regex: sslv[12]
 130       desc: "Insecure cryptographic hashing algorithm"
 131
 132     tlsv1:
 133       regex: tlsv1
 134       desc: "Insecure TLS Version"
 135
 136     wget:
 137       regex: wget
 138       desc: "WGET is blocked to unknown / untrusted destinations"
 139
 140     run_as_root:
 141       regex: run_as_root.*=.*True
 142       desc: "Its better to use sudo or a rootwrapper"
 143
 144     exec:
 145       regex: \sexec\s*(\"|\().+(\"|\))
 146       desc: "Exec can be dangerous when used with arbitrary, untrusted code."
 147
 148     eval:
 149       regex: \beval\b
 150       desc: "Eval can be dangerous when used with arbitrary, untrusted code."
 151
 152     apprun:
 153       regex: app\.run\s*\(.*debug.*=.*True.*\)
 154       desc: |
 155         "Running flask in debug mode can give away sensitive data on a
 156         systems configuration"
 157
 158     autoescape:
 159       regex: autoescape.*=.*False
 160       desc: |
 161         "Without escaping HTML input an application becomes
 162         vulnerable to Cross Site Scripting (XSS) attacks."
 163
 164     safestring:
 165       regex: safestring\.mark_safe.*\(.*\)
 166       desc: |
 167         "Without escaping HTML input an application becomes
 168         vulnerable to Cross Site Scripting (XSS) attacks."
 169
 170     shelltrue:
 171       regex: shell.*=.*True
 172       desc: |
 173         "Shell=True can lead to dangerous shell escapes,
 174         expecially when the input can be crafted by untrusted external input"
 175
 176     tmp:
 177       regex: \/tmp\/
 178       desc: |
 179         "Use of tmp directories can be dangerous. Its world writable and
 180         accessable, and can be easily guessed by attackers"
 181
 182     yamlload:
 183       regex: \yaml\.load
 184       desc: |
 185         "Avoid dangerous file parsing and object serialization libraries,
 186         use instead `yaml.safe_load`"
 187
 188     telnet:
 189       regex: telnet
 190       desc: "Avoid coms applications that transmit credentials in clear text"
 191
 192     ftp:
 193       regex: \bftp\b
 194       desc: "Avoid coms applications that transmit credentials in clear text"
 195
 196     finger:
 197       regex: \bfinger\b
 198       desc: "Avoid coms applications that transmit credentials in clear text"
 199
 200 licence:
 201   licence_ext:
 202     - '.java'
 203     - '.md'
 204     - '.py'
 205     - '.rb'
 206     - '.rst'
 207     - '.sh'
 208   licence_ignore:
 209     - '__init__.py'
 210
 211 project_exceptions:
 212   - apex: exceptions/apex.yaml
 213   - armband: exceptions/armband.yaml
 214   - bamboo: exceptions/bamboo.yaml
 215   - barometer: exceptions/barometer.yaml
 216   - bottlenecks: exceptions/bottlenecks.yaml
 217   - calipso: exceptions/calipso.yaml
 218   - compass4nfv: exceptions/compass4nfv.yaml
 219   - conductor: exceptions/conductor.yaml
 220   - copper: exceptions/copper.yaml
 221   - cperf: exceptions/cperf.yaml
 222   - daisy: exceptions/daisy.yaml
 223   - doctor: exceptions/doctor.yaml
 224   - dovetail: exceptions/dovetail.yaml
 225   - dpacc: exceptions/dpacc.yaml
 226   - enfv: exceptions/enfv.yaml
 227   - escalator: exceptions/escalator.yaml
 228   - fds: exceptions/fds.yaml
 229   - functest: exceptions/functest.yaml
 230   - octopus: exceptions/octopus.yaml
 231   - pharos: exceptions/pharos.yaml
 232   - releng: exceptions/releng.yaml
 233   - sandbox: exceptions/sandbox.yaml
 234   - yardstick: exceptions/yardstick.yaml