TruffleHog：一款幫助開發者檢測軟體安全性的工具

一款免費開源的工具「TruffleHog」，可以幫助開發人員檢測他們在GitHub上發布的項目是否已經不小心泄漏了任何秘密密鑰。

「TruffleHog」是研究人員Dylan Ayrey發布的一個用來搜索存儲庫的Python工具，可以幫助管理員深入研究GitHub Commits（提交），找到高熵密鑰，從而避免管理員暴露他們的敏感數據。

TruffleHog的工作原理

Ayrey表示，「TruffleHog」通過GitHub存儲庫搜索高熵（high-entropy）字元串，深入挖掘提交歷史（Commit History）和分支（Branch）。他解釋稱，這款工具將定位任何超過20個字元串的高熵密鑰。

該工具可以搜索分支的整個提交歷史，檢查Commit中的每個diff，評估base64字符集的Shannon Entropy。此外，還對blob進行評估（每個大文本超過20個字元，且每個Diff中包含這些字符集）的Shannon Entropy。這款工具能有效找到不小心提交的高熵密鑰。如果檢測到高熵字元串超過20個，將列印到屏幕上。

該工具的開發者Dylan Ayrey曾因去年的「粘貼劫持（Pastejack）」而出名，他提供了演示視頻，展示了攻擊者運行惡意代碼、清除控制台並附加用戶複製的代碼的全過程。這種攻擊可以使用CSS附加惡意內容至剪貼板，而不必通知用戶，最終誘騙他們執行不需要的終端命令。

目前「TruffleHog」在GitHub中的星數已經超過了700，成為Ayrey繼「Pastejack」之後第二個受歡迎的項目。

安全專家經常警告開發人員，在GitHub上發布項目存在泄漏敏感數據的風險。2013年1月，GitHub推出新的內部搜索功能，可以輕鬆查找密碼、加密密鑰和其它數據。當時，用戶在GitHub上發現了幾千個這樣的隱私數據。

最近，專家警告Slack Bot的開發人員，他們在GitHub上發布Slack訪問令牌，但卻不知不覺地泄漏了敏感數據，包括商業關鍵信息。

註：本文參考來源於securityweek

推薦閱讀：