研究者が、管理者が GitHub コミットを詳しく調べて高エントロピーの秘密鍵を見つけるのに役立つツールを公開しました。
TruffleHog と呼ばれるこのツールは、GitHub の高エントロピー キーを見つけることができ、管理者がネットワークや機密データを公開するのを防ぐ可能性があります。
昨年、Pastejack 攻撃について警告した TruffleHog 開発者の Dylan Ayrey 氏は、このツールは 20 文字を超える高エントロピー文字列をすべて見つけることができると述べています。
「[TruffleHog] は、コミット履歴とブランチを深く掘り下げて、Git リポジトリで高エントロピー文字列を検索します」と Ayrey 氏は言います。
「これは、高エントロピーを含む、誤って公開された秘密を見つけるのに効果的です。
「20 文字を超える高エントロピー文字列が検出された場合には、画面に出力されます。」
TruffleHog の動作。
彼によれば、このツールはブランチのコミット履歴全体を検索し、コミット内の各 diff をチェックして、各 diff 内の 20 文字を超える文字セットで構成されたテキストのあらゆる blob について、base64 文字セットと 16 進文字セットの両方のシャノン エントロピーを評価します。
このツールを賞賛するRedditユーザーは、AmazonはすでにGitHubでAWSキーを検索し、見つかった場合は該当するサービスを停止していると主張している。
TruffleHog は GitPython のみに依存します。®
