安全研究员开发了一种工具,可以自动检测软件项目中已硬编码的敏感访问密钥。
这松露猪工具是由基于美国的研究人员Dylan Ayrey创建的,并用Python编写。它通过扫描到20个或多个字符的字符串的深度内部Git代码存储库来搜索硬编码的访问密钥,并且具有高熵。在美国数学家Claude E. Shannon以美国数学家Claude E. Shannon命名的高香农熵会提出一定程度的随机性,使其成为加密秘密的候选人,如访问令牌。
软件项目中各种服务的硬编码访问令牌被视为安全风险,因为可以在黑客而不需要大量努力的情况下提取这些令牌。不幸的是,这种做法非常普遍。
2014年,研究人员发现了亚马逊Web服务的几乎10,000个访问键,并且在GitHub上的公开访问代码内的开发人员留下了剩余的弹性计算云。自从开始扫描GitHub以获得此类键本身并撤销它们。
去年从侦查的研究人员发现了1,500个松弛令牌由开发人员进入GitHub项目的硬编码,其中许多人提供对聊天,文件,私人留言和其他敏感数据在Slack Team中共享的其他敏感数据。
2015年,由技术大学和德国达姆施塔特达姆施塔特弗劳霍夫安全信息技术研究所的研究人员研究,发现超过1,000个访问凭据对于存储在Android和IOS应用程序中的后端服务(BAAS)框架。这些凭证解锁了超过1850万条记录,其中包含了5600万个数据项,存储在Baas提供商上,如Facebook所拥有的Parse,Cloudmine或Amazon Web服务。
Truffle Hog深入挖掘项目的提交历史和分支机构。Ayrey在项目的描述中表示,它将评估Base64和Base64和十六进制字符集的Shannon熵为每一个大于20个字符的文本。
该工具可在GitHub上使用,并要求Gitpython库运行。公司和独立开发人员可以使用它来扫描自己在黑客这样做之前的软件项目。