eliminar hard-coded
Save on your hotel - www.hotelscombined.com

Truffle Hog puede encontrar fichas de acceso y las claves que son 20 caracteres o más dentro de repositorios de código fuente

Save on your hotel - www.hotelscombined.com

Un investigador de seguridad ha desarrollado una herramienta que puede detectar automáticamente las claves de acceso que han sido codificadas dentro de proyectos de software.

La herramienta Truffle Hog fue creada por el investigador estadounidense Dylan Ayrey y está escrita en Python. Busca claves de acceso codificado a través de realización de análisis profundo dentro de repositorios de código de git para cadenas que son de 20 o más caracteres y que tienen una alta entropía. Una alta entropía de Shannon, proveniente del matemático americano Claude E. Shannon, su nombre sugiere un nivel de aleatoriedad suficiente convirtiéndolo en un candidato para de secreto criptográfico, como un  access token.

Código tokens de acceso para diferentes servicios en proyectos de software se considera un riesgo de seguridad porque los tokens pueden extraerse sin mucho esfuerzo por los hackers. Lamentablemente esta práctica es muy común.

Truffle Hog tool cava profundamente en la historia del cometido en el proyecto. Evaluando la entropía de Shannon para el base64 y hexadecimal de caracteres para cada gota de texto mayor que 20 caracteres, Ayrey dijo en la descripción del proyecto.

La herramienta está disponible en GitHub y requiere la biblioteca GitPython para correr. Empresas y desarrolladores independientes pueden utilizarlo para analizar sus propios proyectos de software antes de que los hackers lo hagan.

Save on your hotel - www.hotelscombined.com

Dejar respuesta