GitHubじゃ!Pythonじゃ!

GitHubからPython関係の優良リポジトリを探したかったのじゃー、でも英語は出来ないから日本語で読むのじゃー、英語社会世知辛いのじゃー

dxa4481

truffleHog – gitリポジトリを検索して高いエントロピー文字列と秘密を検索し、コミット履歴に深く掘り下げる

投稿日:

gitリポジトリを検索して高いエントロピー文字列と秘密を検索し、コミット履歴に深く掘り下げる

トリュフ豚

gitリポジトリを介して秘密を探し、コミット履歴とブランチを深く掘り下げます。 これは、誤ってコミットされた秘密を見つけるのに効果的です。

新しい

Trufflehogは以前はgit diffsのエントロピーチェックを実行していました。 この機能はまだ存在しますが、信号の高い正規表現チェックが追加されており、エントロピーチェックを無効にする機能も追加されています。

これらの機能は、ノイズを減らすのに役立ち、ツールをdevopsパイプラインに簡単に押し込むことができます。

truffleHog --regex --entropy=False https://github.com/dxa4481/truffleHog.git

または

truffleHog file:///user/dxa4481/codeprojects/truffleHog/

インストール

pip install truffleHog

カスタマイズ

カスタム正規表現を次のファイルに追加することができます:

truffleHog/truffleHog/regexChecks.py

サブドメイン列挙、s3バケット検出、および状況に高度に特化した他の有用な正規表現などのものを追加することができます。

あなたがコミュニティに恩恵を受けると思われる高いシグナル正規表現を上流に寄付することも自由にしてください。 高い信号正規表現が構築できるならば、Azure鍵、Twilio鍵、Google Compute鍵などは歓迎されます。

使い方

このモジュールは、各ブランチのコミット履歴全体を調べ、各コミットから各diffをチェックし、秘密をチェックします。 これは、正規表現とエントロピーの両方によるものです。 エントロピーチェックの場合、trufflehogは、各diffの文字セットで構成された20文字を超えるテキストのすべてのblobに対して、base64 char setとhexadecimal char setのシャノンエントロピーを評価します。 いずれかの時点で、20文字を超える高いエントロピー文字列が検出された場合、それは画面に印刷されます。

助けて

Find secrets hidden in the depths of git.

positional arguments:
  git_url               URL for secret searching

optional arguments:
  -h, --help            show this help message and exit
  --json                Output in JSON
  --regex               Enable high signal regex checks
  --entropy DO_ENTROPY  Enable entropy checks
  --since_commit SINCE_COMMIT
                        Only scan from a given commit hash
  --max_depth MAX_DEPTH
                        The max commit depth to go back when searching for
                        secrets

ウィッシュリスト

  • バイナリ差分を検出してスキャンしない方法
  • 他のブランチで既に見た場合はdiffを再スキャンしないでください
  • コミットX機能以降
  • 影響を受けるファイルを印刷する







-dxa4481
-, , , ,

執筆者: