master_list.yaml

   1 ---
   2 # This file uses standard regular expression syntax,  however be mindful
   3 # of escaping YAML delimiters too (such as `:`) using double quotes "".
   4
   5 binaries:
   6   binary_ignore:
   7     - \.git/(index|objects)
   8
   9 file_audits:
  10   file_names:
  11     - \.asc
  12     - \.gpg
  13     - \.key
  14     - \.md(2|3|4|5)
  15     - \.sha1
  16     - \.sig
  17     - \.pcap
  18     - \.kdb
  19     - \.pypirc
  20     - \.pem
  21     - \.cer
  22     - \.der
  23     - \.crt
  24     - \.crl
  25     - \.p7b
  26     - \.p7r
  27     - \.spc
  28     - \.sst
  29     - \.stl
  30     - \.pfx
  31     - \.p12
  32     - _rsa
  33     - _dsa
  34     - (irb|plsq|mysql|bash|zsh)_history
  35     - (zsh|bash)rc-secrets
  36     - \.vimrc
  37     - \.gem\/credentials
  38     - configuration\.user\.xpl
  39     - \.dockercfg
  40     - \.npmrc
  41     - key(store|ring)
  42     - ovpn
  43     - secret_token\.rb
  44     - omniauth\.rb
  45     - carrierwave\.rb
  46     - schema\.rb
  47     - knife\.rb
  48     - database\.yml
  49     - settings\.py
  50     - keychain
  51     - backup
  52     - credentials\.xml
  53     - htpasswd
  54     - kwallet
  55     - aws_access_key_id
  56     - aws_secret_access_key
  57     - otr\.private_key
  58     - ovpn
  59     - agilekeychain
  60     - \.log
  61     - gnucash
  62     - backup
  63     - jenkins\.plugins\.publish_over_ssh\.BapSshPublisherPlugin\.xml
  64     - LocalSettings\.php
  65     - tblk
  66     - Favorites\.plist
  67     - configuration\.user\.xpl
  68     - tugboat
  69     - git-credentials
  70     - git-config
  71     - proftpdpasswd
  72     - robomongo\.json
  73     - filezilla\.xml
  74     - recentservers\.xml
  75     - ventrilo_srv\.ini
  76
  77   file_contents:
  78     private_key:
  79       regex: -----BEGIN\sRSA\sPRIVATE\sKEY----
  80       desc: "This looks like it could be a private key"
  81
  82     password:
  83       regex: (password|passwd)(.*:|.*=.*)
  84       desc: "Possible hardcoded password"
  85
  86     curl:
  87       regex: \bcurl\b
  88       desc: "Curl can be used for retrieving objects from untrusted sources"
  89
  90     clone:
  91       regex: git.*clone
  92       desc: "clone blocked as using an non approved external source"
  93
  94     dual_ec_drbg:
  95       regex: dual_ec_drbg
  96       desc: "Insecure cryptographic algorithm"
  97
  98     base64_decode:
  99       regex: base64_decode
 100       desc: "Insecure cryptographic algorithm"
 101
 102     gost:
 103       regex: gost
 104       desc: "Insecure cryptographic algorithm"
 105
 106     md245:
 107       regex: md[245]
 108       desc: "Insecure hashing algorithm"
 109
 110     panama:
 111       regex: panama
 112       desc: "Insecure cryptographic algorithm"
 113
 114     private_key2:
 115       regex: private_key
 116       desc: "This looks like it could be a private key"
 117
 118     rc4:
 119       regex: rc4
 120       desc: "Rivest Cipher 4 is an insecure stream cipher"
 121
 122     ripemd:
 123       regex: ripemd
 124       desc: "RACE Message Digest is an insecure hashing algorithm"
 125
 126     secret:
 127       regex: secret
 128       desc: "Possible leak of sensitive information"
 129
 130     sha:
 131       regex: sha[01]
 132       desc: "Insecure hashing algorithm"
 133
 134     snefru:
 135       regex: snefru
 136       desc: "Insecure hashing algorithm"
 137
 138     ssh_key:
 139       regex: ssh_key
 140       desc: "Possible leak of private SSH key"
 141
 142     sslv:
 143       regex: sslv[12]
 144       desc: "Insecure SSL Version"
 145
 146     streebog:
 147       regex: sslv[12]
 148       desc: "Insecure cryptographic hashing algorithm"
 149
 150     tlsv1:
 151       regex: tlsv1
 152       desc: "Insecure TLS Version"
 153
 154     wget:
 155       regex: wget
 156       desc: "WGET is blocked to unknown / untrusted destinations"
 157
 158     run_as_root:
 159       regex: run_as_root.*=.*True
 160       desc: "Its better to use sudo or a rootwrapper"
 161
 162     exec:
 163       regex: \sexec\s*(\"|\().+(\"|\))
 164       desc: "Exec can be dangerous when used with arbitrary, untrusted code."
 165
 166     eval:
 167       regex: \beval\b
 168       desc: "Eval can be dangerous when used with arbitrary, untrusted code."
 169
 170     apprun:
 171       regex: app\.run\s*\(.*debug.*=.*True.*\)
 172       desc: |
 173         "Running flask in debug mode can give away sensitive data"
 174
 175     autoescape:
 176       regex: autoescape.*=.*False
 177       desc: "Not escaping HTML input is vulnerable to XSS attacks."
 178
 179     safestring:
 180       regex: safestring\.mark_safe.*\(.*\)
 181       desc: "Not escaping HTML input is vulnerable to XSS attacks."
 182
 183     shelltrue:
 184       regex: shell.*=.*True
 185       desc: "Shell=True can lead to dangerous shell escapes"
 186
 187     tmp:
 188       regex: \/tmp\/
 189       desc: |
 190         "tmp directories are risky. They are world writable and easily guessed"
 191
 192     yamlload:
 193       regex: \yaml\.load
 194       desc: |
 195         "Avoid dangerous file parsing & serialization libs, use yaml.safe_load"
 196
 197     telnet:
 198       regex: telnet
 199       desc: "Avoid coms applications that transmit credentials in clear text"
 200
 201     ftp:
 202       regex: \bftp\b
 203       desc: "Avoid coms applications that transmit credentials in clear text"
 204
 205     finger:
 206       regex: \bfinger\b
 207       desc: "Avoid coms applications that transmit credentials in clear text"
 208     allint:
 209       regex: 0\.0\.0\.0
 210       desc: "Interface listening on all addresses - may break security zones"
 211
 212 file_ignore:
 213   - '.rst'
 214   - '.md'
 215
 216 licence:
 217   licence_ext:
 218     - '.java'
 219     - '.md'
 220     - '.py'
 221     - '.rb'
 222     - '.rst'
 223     - '.sh'
 224   licence_ignore:
 225     - '__init__.py'
 226
 227 project_exceptions:
 228   - apex: exceptions/apex.yaml
 229   - armband: exceptions/armband.yaml
 230   - bamboo: exceptions/bamboo.yaml
 231   - barometer: exceptions/barometer.yaml
 232   - bottlenecks: exceptions/bottlenecks.yaml
 233   - calipso: exceptions/calipso.yaml
 234   - compass4nfv: exceptions/compass4nfv.yaml
 235   - conductor: exceptions/conductor.yaml
 236   - copper: exceptions/copper.yaml
 237   - cperf: exceptions/cperf.yaml
 238   - daisy: exceptions/daisy.yaml
 239   - doctor: exceptions/doctor.yaml
 240   - dovetail: exceptions/dovetail.yaml
 241   - dpacc: exceptions/dpacc.yaml
 242   - enfv: exceptions/enfv.yaml
 243   - escalator: exceptions/escalator.yaml
 244   - fds: exceptions/fds.yaml
 245   - functest: exceptions/functest.yaml
 246   - octopus: exceptions/octopus.yaml
 247   - pharos: exceptions/pharos.yaml
 248   - releng: exceptions/releng.yaml
 249   - sandbox: exceptions/sandbox.yaml
 250   - yardstick: exceptions/yardstick.yaml
 251   - infra: exceptions/infra.yaml
 252   - ipv6: exceptions/ipv6.yaml
 253   - joid: exceptions/joid.yaml
 254   - kvmfornfv: exceptions/kvmfornfv.yaml
 255   - lsoapi: exceptions/lsoapi.yaml
 256   - models: exceptions/models.yaml
 257   - moon: exceptions/moon.yaml
 258   - multisite: exceptions/multisite.yaml
 259   - netready: exceptions/netready.yaml