TruffleHog: Sırları taramak için açık kaynaklı çözüm

   Şubat 21, 2024  Posted in HelpnetSecurity


TruffleHog, tüm teknoloji yığınınız boyunca açığa çıkan sırları tanımlayan ve ele alan açık kaynaklı bir tarayıcıdır.

YermantarDomuz

“TruffleHog aslında 2016 yılında bağımsız olarak yazdığım bir araştırma aracıydı. Onu yayınladığımda hiçbir araç Git revizyon geçmişini sırlar için taraymıyordu. Benim önsezim, kodun eski sürümlerinde pek çok sırrın gömülü olduğuydu, ancak bunları arayacak hiçbir araç yoktu. Önsezim doğruydu. Araç hızla popülerlik kazandı ve çok popüler oldu. Truffle Security CEO’su ve TruffleHog’un orijinal yazarı Dylan Ayrey, Help Net Security’ye verdiği demeçte, “Bugünlerde GitHub’da yaklaşık 14.000 kez yıldız gösterildi ve sektörde çılgınca benimsendi” dedi.

Özellikler

  • Taradığı sırların 700’den fazla türüyle kapsamlı listesi.
  • Her bir sır türü için, sır ile oturum açmak ve geçerliliğini onaylamak için doğrulama mantığı uygulanır.
  • TruffleHog, normal dosyaları taramanın yanı sıra, base64, zip dosyaları, docx dosyaları ve çok daha fazlasını içeren düzinelerce kodlamanın kodunu çözer ve bunları sırlara karşı tarar.
  • Kaynak kodundan daha fazlasını tarar. Ayrıca dosya sistemlerini, liman işçisi konteynerlerini, S3 klasörlerini, CI günlüklerini ve daha fazlasını tarar.
  • TruffleHog, anahtarın ait olduğu hesap ve bazen anahtarların izinleri veya kapsamı gibi API’lerden öğrenilen verilerle bulguları zenginleştirir.

TruffleHog’un taramak istediğiniz her veri kaynağı için bir alt komutu vardır:

  • git
  • github
  • gitlab
  • liman işçisi
  • S3
  • dosya sistemi (dosyalar ve dizinler)
  • sistem günlüğü
  • Circleci
  • yanıltıyorsun
  • GCS (Google Bulut Depolama)

Gelecek planları

Ayrey sözlerini şöyle tamamladı: “Yeni entegrasyon (sırların aranacağı yerler), daha fazla veri zenginleştirme ve TruffleHog’u sınıfının en iyisi gizli tarayıcı olarak tutmaya devam etmek için birkaç bulut güvenliği hilesinden yararlanma dahil pek çok heyecan verici planımız var.”

TruffleHog GitHub’da ücretsiz olarak mevcuttur.

Okumalısınız: Keşke daha önce bilseydim diyeceğiniz 15 açık kaynaklı siber güvenlik aracı

Göz önünde bulundurulması gereken daha fazla açık kaynak araç:



Source link