敏感信息泄露自動化掃描工具

大家好，又見面了，我是 GitHub 精選君！

背景介紹

企業(yè)和個人越來越依賴于各種在線平臺來存儲和管理數據，其中包括敏感信息。然而，這些敏感信息（比如憑證、密鑰和訪問令牌）時常因疏忽而被泄露到公共倉庫如 GitHub 上。一旦這些敏感信息被惡意用戶發(fā)現，便可能對公司或個人造成巨大的安全威脅和財務損失。因此，檢測和預防敏感信息泄露成為了企業(yè)和開發(fā)者亟需解決的問題。

今天要給大家推薦一個 GitHub 開源項目 trufflehog，該項目在 GitHub 有超過 14.6k Star。

一句話介紹該項目：Find and verify secrets

項目介紹

TruffleHog 專注于發(fā)現和驗證 Git 倉庫中泄露的憑證和敏感信息。通過深度掃描代碼歷史記錄和實時監(jiān)測，TruffleHog 能夠有效地識別出各類編碼格式中的秘密信息，包括簡單文本、散列值和令牌。它支持多種掃描模式，包括對指定倉庫的掃描、組織層面的掃描，以及輸出掃描結果為 JSON 格式等。此外，TruffleHog 能夠只篩選出已驗證的秘密，有效減少誤報。通過這些功能，開發(fā)者和企業(yè)可以大大降低潛在的信息安全風險。

如何使用

1、安裝 TruffleHog

MacOS 用戶：

brew install trufflehog

使用 Docker：

docker run --rm -it -v "$PWD:/pwd" trufflesecurity/trufflehog:latest github --repo https://github.com/trufflesecurity/test_keys

源碼編譯：

git clone https://github.com/trufflesecurity/trufflehog.git
cd trufflehog; go install

2、快速開始

掃描一個倉庫以尋找已驗證的秘密：

trufflehog git https://github.com/trufflesecurity/test_keys --only-verified

項目推介

TruffleHog 是由專注于安全工具開發(fā)的 Truffle Security 團隊創(chuàng)建和維護的。自從項目啟動以來，它已經受到了開發(fā)社區(qū)的廣泛認可和使用，包括一些知名公司和組織。

以下是該項目 Star 趨勢圖（代表項目的活躍程度）：

更多項目詳情請查看如下鏈接。

開源項目地址：https://github.com/trufflesecurity/trufflehog

開源項目作者：trufflesecurity

關注我們，一起探索有意思的開源項目。

點擊如下卡片后臺回復：加群，與技術極客們一起交流人工智能、開源項目，一起成長。如果你正在尋求開源項目推廣、DevOps、AIGC 大模型、軟件開發(fā)等領域的付費服務，可參考推文了解詳情。

讀者專屬插件：github.com/ZhuPeng/github_linker