← Katalog
E I A C

TruffleHog

Security-as-Code

Wykrywa i weryfikuje wycieki poświadczeń w repo i nie tylko.

★ 27 000 AGPL-3.0 #security#secrets#scanning#ci

TruffleHog skanuje repozytoria, historię Git, obrazy, logi i wiele innych źródeł w poszukiwaniu sekretów — a co kluczowe, potrafi je zweryfikować, sprawdzając, czy znaleziony klucz nadal działa. To ogranicza szum fałszywych alarmów i pozwala priorytetyzować realne wycieki. Wpina się w pre-commit i CI jako bramka.

Kiedy używać

  • Chcesz wykrywać sekrety z weryfikacją „czy ten klucz żyje”.
  • Skanujesz nie tylko repo, ale też obrazy, S3, logi.
  • Budujesz bramkę w CI i hook pre-commit.

Przykład użycia

trufflehog git https://git.eiac.dev/eiac/web --only-verified
trufflehog filesystem ./ --only-verified
# Gitea Actions — fail przy zweryfikowanym sekrecie
- run: trufflehog git file://. --only-verified --fail

Warto wiedzieć

  • Komplementarny do Gitleaks: TruffleHog weryfikuje, Gitleaks jest lekki i regułowy — wielu używa obu.
  • --only-verified mocno redukuje fałszywe alarmy.