TruffleHog
Security-as-Code
Wykrywa i weryfikuje wycieki poświadczeń w repo i nie tylko.
TruffleHog skanuje repozytoria, historię Git, obrazy, logi i wiele innych źródeł w poszukiwaniu sekretów — a co kluczowe, potrafi je zweryfikować, sprawdzając, czy znaleziony klucz nadal działa. To ogranicza szum fałszywych alarmów i pozwala priorytetyzować realne wycieki. Wpina się w pre-commit i CI jako bramka.
Kiedy używać
- Chcesz wykrywać sekrety z weryfikacją „czy ten klucz żyje”.
- Skanujesz nie tylko repo, ale też obrazy, S3, logi.
- Budujesz bramkę w CI i hook pre-commit.
Przykład użycia
trufflehog git https://git.eiac.dev/eiac/web --only-verified
trufflehog filesystem ./ --only-verified
# Gitea Actions — fail przy zweryfikowanym sekrecie
- run: trufflehog git file://. --only-verified --fail
Warto wiedzieć
- Komplementarny do Gitleaks: TruffleHog weryfikuje, Gitleaks jest lekki i regułowy — wielu używa obu.
--only-verifiedmocno redukuje fałszywe alarmy.