E安全1月10日讯 研究人员Dylan Ayrey发布工具，帮助管理员深入研究GitHub Commits，找到高熵密钥。这款工具名为“TruffleHog”，能通过Github定位高熵密钥，从而避免管理员暴露他们的网络和敏感数据。

TruffleHog的开发人员Dylan Ayrey去年警告“粘贴劫持”攻击（Pastejack Attack）。他表示，这款工具将定位任何超过20个字符串的高熵密钥。

Ayrey表示，“TruffleHog”通过Git存储库搜索高熵字符串，深入挖掘提交历史（Commit History）和分支（Branch）

他表示，“这款工具能有效找到意外提交的高熵密钥。如果检测到高熵字符串超过20个，将打印到屏幕上。”

Ayrey表示，该工具搜索分支的整个提交历史，检查Commit中的每个diff，评估base64字符集的香农熵（Shannon Entropy）。此外，还评估大文本（blob）（每个大文本超过20个字符，且每个Diff中包含这些字符集）的香农熵。对该工具赞不绝口的用户声称，Amazon已经在搜索GitHub AWS密钥，并在发现任何密钥时关闭相应服务。

安全专家常常警告开发人员，在GitHub上发布项目存在泄漏敏感数据的风险。 2013年1月，GitHub推出新的内部搜索功能，可以轻松查找密码、加密密钥和其它数据。当时，用户在GitHub上发现了几千个这样的隐私数据。

最近，专家警告Slack Bot的开发人员，他们在GitHub上发布Slack访问令牌，但却不知不觉地泄漏了敏感数据，包括商业关键信息。

目前TruffleHog在GitHub的星数（Star）超过700，成为继“Pastejack”（Ayrey开发的）之后第二个受欢迎的项目。

TruffleHog只依赖GitPython。TruffleHog下载地址：

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。