TruffleHog 最初是在 2016 年独立创作的一个研究工具。当发布它时，没有工具扫描 Git 修订历史记录以获取秘密。我的预感是旧版本的代码中隐藏着很多秘密，但没有工具可以查找它们。

我的预感是对的。该工具迅速流行并变得非常流行。如今，它在 GitHub 上已被加星约 14,000 次，并在业界得到广泛采用。

特征

● 它扫描的机密的完整列表，有 700 多种类型。
● 对于每种秘密类型，都会实现验证逻辑以使用秘密登录并确认其有效性。
● 除了扫描普通文件外，TruffleHog 还可以解码数十种编码，包括 base64、zip 文件、docx 文件等，并扫描它们以查找机密。
● 它扫描的不仅仅是源代码。它还扫描文件系统、docker 容器、S3 存储桶、CI 日志等。
● TruffleHog 通过从 API 学习的数据丰富了结果，例如密钥所属的帐户，有时还包括密钥的权限或范围。

TruffleHog 对于您要扫描的每个数据源都有一个子命令：
● git
● github
● gitlab
● docker
● S3
● filesystem (files and directories)
● syslog
● circleci
● travisci
● GCS (Google Cloud Storage)

未来的计划

我们有很多令人兴奋的计划，包括新的集成（寻找秘密的地方）、更多的数据丰富以及利用一些云安全技巧来继续保持 TruffleHog 成为一流的秘密扫描器。

TruffleHog 在 GitHub 上免费提供。

GitHub - trufflesecurity/trufflehog: Find and verify credentials