TruffleHog способен найти сгенерированные секретные ключи, анализируя коммиты в истории вашего проекта.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------Зачем это нужно?
Предположим, вы пишите веб-проект и используете какой-нибудь ключ для шифрования паролей. Вы создали изначальный коммит, не удалив секретный ключ из кода. Затем вы выкладываете свой проект на GitHub. В какой-то момент вы вспомнили о том, что просто так оставлять секретный ключ в коде — это плохая идея, и удаляете ключ из кода, сохраняя новый коммит. В итоговой версии кода секретного ключа не видно, но кто-то может покопаться в истории коммитов и найти ключ. А зная ключ, можно получить доступ, например, к панели администратора сайта. Так вот TruffleHog ищет такие коммиты и сообщает о них пользователю.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------
Как это работает?Дилан Эйри (Dylan Ayrey), создатель TruffleHog, описал идею работы инструмента: секретным ключом считается любая строка длинной более 20 символов и с высокой энтропией. Энтропия — это мера неопределённости или непредсказуемости информации, неопределённость появления какого-либо символа первичного алфавита.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------
TruffleHog проходится по всей истории коммитов во всех ветках, оценивая
для каждого фрагмента текста, состоящего из шестнадцатеричных или base64 символов. Если строка больше 20 символов, то выводится эта строка и информация о ветке и коммите, где она встретилась.-------------------------------------------------------------------------------------------------------------------------------------------------------------------
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 | usage: trufflehog [-h] [--json] [--regex] [--rules RULES] [--entropy DO_ENTROPY] [--since_commit SINCE_COMMIT] [--max_depth MAX_DEPTH] git_url Find secrets hidden in the depths of git. positional arguments: git_url URL for secret searching optional arguments: -h, --help show this help message and exit --json Output in JSON --regex Enable high signal regex checks --rules RULES Ignore default regexes and source from json list file --entropy DO_ENTROPY Enable entropy checks --since_commit SINCE_COMMIT Only scan from a given commit hash --max_depth MAX_DEPTH The max commit depth to go back when searching for secrets -i INCLUDE_PATHS_FILE, --include_paths INCLUDE_PATHS_FILE File with regular expressions (one per line), at least one of which must match a Git object path in order for it to be scanned; lines starting with "#" are treated as comments and are ignored. If empty or not provided (default), all Git object paths are included unless otherwise excluded via the --exclude_paths option. -x EXCLUDE_PATHS_FILE, --exclude_paths EXCLUDE_PATHS_FILE File with regular expressions (one per line), none of which may match a Git object path in order for it to be scanned; lines starting with "#" are treated as comments and are ignored. If empty or not provided (default), no Git object paths are excluded unless effectively excluded via the --include_paths option. |
-------------------------------------------------------------------------------------------------------------------------------------------------------------------
TruffleHog доступен на
