Versi ketiga dari perangkat lunak open source hadir dengan peningkatan yang signifikan Kunci dapat disalahgunakan untuk menyusup ke jaringan perusahaan, seringkali lebih tersembunyi dan untuk jangka waktu yang lebih lama daripada eksploitasi kerentanan dalam perangkat lunak populer. Tersedia di GitHub, TruffleHog adalah alat proyek sumber terbuka untuk menemukan kunci yang bocor melalui JavaScript atau pengaturan CORS yang terlalu permisif di APIs. Sistem dapat memperingatkan pengembang atau peneliti ketika situs web atau aplikasi front-end secara tidak sengaja membocorkan kunci. TruffleHog juga dapat digunakan untuk menemukan kredensial repositori .git yang terbuka. Pada tanggal 4 April, salah satu pendiri Truffle Security Dylan Ayrey mengatakan dalam sebuah posting blog bahwa TruffleHog sekarang memasuki fase ketiga dengan banyak peningkatan, termasuk verifikasi dan peningkatan volume kunci. Pada bulan Desember , Truffle Security mengumpulkan $14 juta dalam putaran investasi Seri A. Dana ini telah digunakan untuk meningkatkan perangkat lunak – dan Ayrey mengatakan bahwa TruffleHog “lebih cepat, mendeteksi 10x lebih banyak rahasia, dan secara otomatis memvalidasi 100% rahasia yang didukungnya dengan pemeriksaan dinamis”. Perubahan paling signifikan adalah langkah verifikasi baru. Panggilan API sekarang dapat dilakukan ke vendor yang menyediakan kunci untuk memvalidasi kunci yang baru ditemukan. Detektor rahasia juga sekarang telah diluncurkan untuk meningkatkan kinerja TruffleHog dan kecepatan runtime. Selain itu, 639 jenis kunci sekarang didukung, termasuk AWS, Azure, Confluent, Facebook, dan GitHub. “Kami tidak mengetahui mesin pemindai rahasia lain yang mendukung ini banyak jenis kunci, apalagi verifikasi, dan faktanya mereka semua sekarang open source,” komentar Ayrey. TruffleHog Kisah dimulai pada 2017. Ayrey menulis skrip untuk menemukan kunci dan rahasia API yang bocor dalam kode sumber Git, dengan keseluruhan tujuan pengiriman hadiah bug. Kode ini diterbitkan sebagai proyek sumber terbuka. Popularitasnya membuat Ayrey, bersama Dustin Decker dan Julian Dunning, meninggalkan pekerjaan mereka untuk fokus penuh waktu pada Truffle Security dan alat kebocoran kredensial. Truffle Security telah merilis ekstensi TruffleHog Chrome, bersama Driftwood, perangkat lunak open source untuk menemukan kebocoran, dipasangkan private, and public keys. The Daily Swig telah menghubungi Truffle Security dan kami akan memperbaruinya ketika kami mendengarnya kembali. ANDA JUGA MUNGKIN MENYUKAIAkses kerentanan kontrol di Easy!Platform janji temu mengekspos data pribadi yang sensitif Referensi PortSwigger.com