一款能在GitHub代码库中探测密钥的工具：Truffle Hog

专用工具介绍

这个全名是“Truffle Hog”的免費开源系统专用工具能够协助开发者检验自个在GitHub上公布的新项目编码是不是出现意外泄露了密匙。

Truffle Hog是这款选用PHP开发设计的专用工具，它能够查找GitHub编码库的全部编码递交纪录及其支系，并检索出能够表达密匙（比如AWS密匙）的高熵字符串。

管理机制

该专用工具的开发人员Dylan Ayrey表述称：

“Truffle Hog会查找编码库中每1个支系详细的编码递交纪录，并且也会查验每次递交的git diff信息内容，随后对每1个长短超出30字符的base64字符集和十六进制字符集的香农熵（Shannon entropy）开展公司估值。要是TruffleHog检验上了1个长短超过30字符的高熵字符串，它便会将其打印输出至显示屏。”

某些Reddit客户现阶段早已在小区刚开始探讨Truffle Hog了，由于在此之前有网络攻击曾运用专用工具在GitHub中检索客户出现意外泄露的AWS密匙，并将这种密匙用以故意的AWS案例当中。因为这类种类的故意主题活动会给亚马逊公司产生高额的财产损失，因而amazon也将这些在公共性编码库中出现意外泄露了密匙的AWS账户临时停用了。

Dylan Ayrey到底是谁？

我觉得，一些客户将会早已熟识Ayrey了。Ayrey在上年曾专做制做了1个演试demo来警示客户“Pastejacking进攻”危险因素。这类应用场景JavaScript的进攻能够改动客户剪切板中的內容，随后引诱客户在别的地区黏贴这种內容。这时的客户不敢相信她们所黏贴的是恶意代码，而这种恶意代码则有将会在电子计算机中的一切地区获得实行。

Truffle Hog新项目在GitHub上早已有着超出800多名粉絲了，而这也促使该新项目变成Ayrey继Pastejack进攻demo以后第五受欢迎的开源项目了。

开发者不应当丢三落四

开发者在将自个的新项目编码递交至GitHub以前，必须要一再查验编码中将会存有的比较敏感信息内容，而这一点儿安全性科学研究权威专家也早已数次警示过小区的开发者了。在2016年1季节，GitHub也推出了一款新的內部检索作用，开发者能够运用这一作用来检索编码库中的登陆密码、数据加密密匙、及其别的的敏感数据。该服务项目一旦发布，广阔客户就马上在GitHub中扫描仪上了很多出现意外泄露的密匙。

专用工具免费下载与安裝 – 【GitHub首页】

免费下载

python truffleHog.py https://github.Com/dxa4481/truffleHog.git

安裝

Truffle Hog惟一的依靠部件就是说GitPython，你能根据下述指令构建依靠自然环境：

pip install -r requirements.txt

* 参照来源于：securityweek，github，FK网编Alpha_h4ck编译