trufflehog-geheimnisse-scannen

truffleHog: Geheimnisse in Ihrem Code aufspüren

Überblick

truffleHog ist ein leistungsstarkes Open-Source-Tool zum Aufspüren von sensiblen Informationen wie API-Schlüsseln, Passwörtern und anderen Geheimnissen in Ihrem Code. Es durchsucht verschiedene Quellen wie Git-Repositories, Docker-Images und Dateisysteme, um versehentlich veröffentlichte Geheimnisse zu finden.

Installation mit Docker

Die einfachste Methode, truffleHog zu verwenden, ist über Docker:

docker run --rm -it -v "$PWD:/pwd" trufflesecurity/trufflehog:latest git https://github.com/IhrBenutzer/IhrRepository.git

Ersetzen Sie IhrBenutzer und IhrRepository durch Ihren GitHub-Benutzernamen und das gewünschte Repository.

Verwendung

Git-Repository scannen

Remote Git-Repository

Um ein Remote Git-Repository auf Geheimnisse zu scannen:

docker run --rm -it -v "$PWD:/pwd" trufflesecurity/trufflehog:latest git https://github.com/IhrBenutzer/IhrRepository.git --results=verified,unknown

Dies durchsucht das angegebene Repository und zeigt alle gefundenen verifizierten oder unbekannten Geheimnisse an.

Lokales Git-Repository

Um ein lokales Git-Repository auf Geheimnisse zu scannen:

docker run --rm -it -v "$PWD:/pwd" trufflesecurity/trufflehog:latest git file:///pfad/zu/ihrem/repository/.git --results=verified,unknown

Ersetzen Sie file:///pfad/zu/ihrem/repository/.git durch den Pfad zu Ihrem lokalen .git-Verzeichnis. Beispiel:

docker run --rm -it -v "$PWD:/pwd" trufflesecurity/trufflehog:latest git file:///home/benutzer/projekte/mein-projekt/.git --results=verified,unknown

GitHub-Organisation scannen

Um alle Repositories einer GitHub-Organisation zu scannen:

docker run --rm -it -v "$PWD:/pwd" trufflesecurity/trufflehog:latest github --org=IhreOrganisation --results=verified,unknown

Wichtige Optionen

• --json: Gibt die Ergebnisse im JSON-Format aus.
• --results=verified,unknown: Zeigt nur verifizierte und unbekannte Geheimnisse an.
• --fail: Beendet truffleHog mit Exit-Code 183, wenn Geheimnisse gefunden wurden (nützlich für CI/CD-Pipelines).

Integration in CI/CD-Pipelines

Die Einbindung von truffleHog in Ihre CI/CD-Pipeline ermöglicht die frühzeitige Erkennung von Geheimnissen.

Beispiel mit GitHub Actions

name: Secret Scan
on:
  push:
    branches:
      - main
  pull_request:
 
jobs:
  scan:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
        with:
          fetch-depth: 0
      - name: Secret Scanning
        uses: trufflesecurity/trufflehog@main
        with:
          extra_args: --results=verified,unknown --fail

Dieser Workflow scannt alle Pull Requests und Commits auf dem main-Branch. Bei gefundenen Geheimnissen schlägt der Build fehl.

Best Practices

• Regelmäßige Scans: Integrieren Sie truffleHog in Ihre regelmäßigen Entwicklungszyklen.
• Ergebnisüberprüfung: Validieren Sie gefundene Geheimnisse, um Fehlalarme zu minimieren.
• Entwickler schulen: Sensibilisieren Sie Ihr Team für den sicheren Umgang mit Geheimnissen.

Weitere Informationen

truffleHog kann auch andere Quellen scannen:

• Docker-Images:

  docker run --rm -it -v "$PWD:/pwd" trufflesecurity/trufflehog:latest docker --image IhrDockerImage --results=verified,unknown

• Dateisysteme:

  trufflehog filesystem pfad/zu/ihrer/datei.txt --results=verified,unknown

Community und Support

• Slack: Treten Sie der truffleHog-Community bei.
• Discord: Diskutieren Sie im Secret Scanning Discord.

Tags

truffleHogSicherheitCodeScanningGitDevSecOpsCDGeheimnisseOpenSource

Recon-Overview