背景与问题

一个亚马逊云科技弹性 Kubernetes 服务集群遭到攻击，其密钥泄露。Kubernetes 密钥未加密，任何使用过 Kubernetes 的人都知道它们默认仅进行 Base64 编码。

任务

我的任务是在 GitHub 和 Azure DevOps 上扫描 115 个代码仓库，查找 Git 历史记录中任何地方暴露的密钥。

目标很简单：识别暴露的密钥，并为工程团队提供可操作的报告以修复这些问题。

一位同事推荐了一款名为 TruffleHog 的工具，它成为了该工作流的基础。

TruffleHog

“TruffleHog 是一款密钥扫描工具，可深入挖掘您的代码仓库，查找密钥、密码和敏感信息。”

— TruffleHog 官方网站

我的工作流

阅读 TruffleHog 文档；
在个人 GitHub 仓库中运行测试，了解该工具的工作原理；
确认待扫描的仓库总数为 115 个；
设计完成任务的方案：

- 决定使用 Bash 和 jq 自动化该过程。
- 脚本将接收仓库 URL 作为参数。
- 使用 jq 过滤和掩码发现结果。
- 使用 jq 为有效和无效密钥生成单独的 JSON 文件。
- 生成标准化的 Notion 报告以支持修复工作流。
- 利用生成的 JSON 数据结合 Gemini 创建报告。

报告示例

经验教训

- 标准化报告使修复工作更加迅速。
- 应分离有效和无效密钥以提高优先级排序效率。
- 在处理数十个仓库时，自动化变得至关重要。

为什么选择 Bash 和 jq？

保持工作流简单且易于运行。

jq 使得以下操作变得简单：

- 过滤发现结果
- 掩码敏感值
- 分离有效和无效密钥
- 生成结构化输出

查看代码

ja-lourenco / trufflehog-scan

🔐 TruffleHog 密钥扫描自动化

简单的 Bash 自动化脚本，使用 TruffleHog 扫描 Git 仓库中暴露的密钥，分类结果并生成

免责声明：本文内容来自互联网，该文观点不代表本站观点。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容，请到页面底部单击反馈，一经查实，本站将立刻删除。

🔐 TruffleHog 密钥扫描器自动化