Опенсорсный инструмент TruffleHog ищет секретные ключи в репозиториях GitHub
❤ 488 , Категория: Новости, ⚑ 10 Янв 2017гНезависимый исследователь Дилан Айри (Dylan Ayrey) представил бесплатный инструмент TruffleHog, который был создан для разработчиков. Написанное на Python решение позволяет искать в репозиториях секретные ключи различной криптографической силы, которые могли быть случайно забыты в коде.
По словам разработчика, TruffleHog проанализирует все коммиты во всех ветках проекта, опираясь на энтропию Шеннона. Утилита внимательно проверит весь код и уделит особое внимание строкам длиннее 20 символов, содержащим как шестнадцатеричные символы, так и base64. Если TruffleHog обнаружит высокую энтропию и строку длиннее 20 символов, она отобразится на экране, так как, вероятнее всего, это случайно забытый в коде секретный ключ, к примеру, от Amazon Web Services (AWS). Для работы инструменту понадобится лишь GitPython.
Пользователи на Reddit пишут, что Amazon уже использует подобные инструменты для поиска ключей Amazon Web Services на GitHub. Дело в том, что забытые в публичных репозиториях ключи зачастую похищают злоумышленники, и потом законному владельцу аккаунта выставляют огромные счета. Так как сотрудники Amazon не хотят тратить лишнее время на разбирательства и возврат средств, компания предпочитает превентивно банить аккаунты невнимательных разработчиков.
- FDA предупреждает: хакеры способны взломать кардиостимуляторы
- Пожиратель пыли Philips PowerPro Aqua
- Стала известна дата выхода Samsung Galaxy S8
- Chrystler Portal — космическая тачка распознающая вас по голосу и лицу
- В AnTuTu представили список из десяти самых дешевых и мощных смартфонов
