Независимый исследователь Дилан Айри (Dylan Ayrey) представил бесплатный инструмент TruffleHog, который был создан для разработчиков. Написанное на Python решение позволяет искать в репозиториях секретные ключи различной криптографической силы, которые могли быть случайно забыты в коде.

По словам разработчика, TruffleHog проанализирует все коммиты во всех ветках проекта, опираясь на энтропию Шеннона. Утилита внимательно проверит весь код и уделит особое внимание строкам длиннее 20 символов, содержащим как шестнадцатеричные символы, так и base64. Если TruffleHog обнаружит высокую энтропию и строку длиннее 20 символов, она отобразится на экране, так как, вероятнее всего, это случайно забытый в коде секретный ключ, к примеру, от Amazon Web Services (AWS). Для работы инструменту понадобится лишь GitPython.

Пользователи на Reddit пишут, что Amazon уже использует подобные инструменты для поиска ключей Amazon Web Services на GitHub. Дело в том, что забытые в публичных репозиториях ключи зачастую похищают злоумышленники, и потом законному владельцу аккаунта выставляют огромные счета. Так как сотрудники Amazon не хотят тратить лишнее время на разбирательства и возврат средств, компания предпочитает превентивно банить аккаунты невнимательных разработчиков.

 

2 комментария

  1. OMiay

    11.01.2017 at 14:22

    Блондинка, гик, книжный червь, синефил.
    А синефил — это тот, кто много бухает???

Оставить мнение

Check Also

В посудомоечной машине Miele нашли уязвимость перед атаками на обход каталога

Исследователь обнаружил уязвимость в веб-сервере посудомоечной машины Miele Professional P…