Ce billet propose une méthode pour détecter et supprimer les secrets exposés sur les postes de travail des développeurs avant qu’ils ne soient exploités par des acteurs malveillants. L’auteur souligne que les gestionnaires de paquets (PyPI, npm, brew, etc.) et les outils comme VS Code élargissent la surface d’attaque, rendant les postes vulnérables aux vols de données d’identification. La plupart des entreprises se contentent de solutions passives, comme espérer que leurs outils de sécurité endpoint bloquent les menaces.

Pour améliorer cette situation, l’auteur recommande une combinaison d’outils open-source : Bagel, un scanner de secrets configuré pour repérer les clés SSH, les identifiants GitHub ou cloud, et Fleet, une plateforme de gestion et de télémétrie basée sur osquery. Ensemble, ils permettent de surveiller les postes en continu, d’évaluer la conformité via des politiques personnalisables et d’automatiser les notifications ou blocages (via Slack ou des fournisseurs d’identité) en cas de faille critique. L’intégration repose sur des scripts macOS (Fleebag) pour déployer Bagel et centraliser les résultats dans Fleet.

L’approche vise à remplacer les vérifications manuelles par un processus automatisé et scalable, adapté même aux petites structures. Les outils, écrits en Go et conçus pour une intégration fluide, offrent une alternative légère aux solutions commerciales, tout en s’appuyant sur des standards comme JSON pour l’interopérabilité.