Независимый исследователь Дилан Айри (Dylan Ayrey) представил бесплатный инструмент TruffleHog, который был создан для разработчиков. Написанное на Python решение позволяет искать в репозиториях секретные ключи различной криптографической силы, которые могли быть случайно забыты в коде.
По словам разработчика, TruffleHog проанализирует все коммиты во всех ветках проекта, опираясь на энтропию Шеннона. Утилита внимательно проверит весь код и уделит особое внимание строкам длиннее 20 символов, содержащим как шестнадцатеричные символы, так и base64. Если TruffleHog обнаружит высокую энтропию и строку длиннее 20 символов, она отобразится на экране, так как, вероятнее всего, это случайно забытый в коде секретный ключ, к примеру, от Amazon Web Services (AWS). Для работы инструменту понадобится лишь GitPython.
Пользователи на Reddit пишут, что Amazon уже использует подобные инструменты для поиска ключей Amazon Web Services на GitHub. Дело в том, что забытые в публичных репозиториях ключи зачастую похищают злоумышленники, и потом законному владельцу аккаунта выставляют огромные счета. Так как сотрудники Amazon не хотят тратить лишнее время на разбирательства и возврат средств, компания предпочитает превентивно банить аккаунты невнимательных разработчиков.
