此工具可以帮助杂草从软件项目中开展硬编码键

发布时间：2022-03-11 10:09:00 所属栏目：要闻来源：互联网

导读：安全研究员开发了一种工具，可以自动检测软件项目中已硬编码的敏感访问密钥。 The Truffle Hog工具是由基于U.S.的研究员Dylan Ayrey创建的，并用Python编写。它通过扫描了20个或多个字符的字符串的深度内部Git代码存储库来搜索硬编码的访问密钥，并具有高熵

安全研究员开发了一种工具，可以自动检测软件项目中已硬编码的敏感访问密钥。

The Truffle Hog工具是由基于U.S.的研究员Dylan Ayrey创建的，并用Python编写。它通过扫描了20个或多个字符的字符串的深度内部Git代码存储库来搜索硬编码的访问密钥，并具有高熵。在美国数学家Claude E. Shannon以美国数学家Claude E. Shannon命名的高香农熵会提出一定程度的随机性，使其成为加密秘密的候选人，如访问令牌。

软件项目中各种服务的硬编码访问令牌被视为安全风险，因为可以在黑客而不需要大量努力的情况下提取这些令牌。不幸的是，这种做法非常普遍。

2015年，技术大学的研究人员和德国达姆施塔特·达姆施塔特弗劳霍夫安全信息技术研究所的研究揭示了存储在Android和IOS应用程序中的后端服务（BAAS）框架的1000多个访问凭据。这些凭证解锁了超过1850万条记录，其中包含了5600万个数据项，存储在Baas提供商上，如Facebook所拥有的Parse，Cloudmine或Amazon Web服务。

松露猪深入进入一个项目的提交历史和分支机构。Ayrey在项目的描述中表示，它将评估Base64和十六进制字符的Shannon熵为Base64和十六进制字符集，该文本大于20个字符。

该工具可在GitHub上使用，并要求Gitpython库运行。公司和独立开发人员可以使用它来扫描自己在黑客这样做之前的软件项目。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!