【徹底解説】trufflehogの使い方：GitHubで機密情報を簡単に検出する方法

Contents

trufflehogとは

trufflehogは、ソースコードリポジトリ内で機密情報（シークレット）を自動的に検出するためのオープンソースツールです。特に、パスワードやAPIキー、アクセストークンなど、意図せず公開されてしまった情報を素早く見つけるのに役立ちます。

最近では、セキュリティの観点から、機密情報がリポジトリに含まれてしまうリスクが大きく注目されています。これを放置してしまうと、攻撃者に悪用され、システムの不正アクセスや情報漏えいの原因になる可能性があります。

例えば、GitHubの公開リポジトリにAPIキーが含まれてしまうと、それを利用されてAPIリクエストを不正に実行される恐れがあります。trufflehogは、そのような問題を防ぐためのツールであり、開発者にとって強力な助けになります。

ここでは、GitHubで実際にtrufflehogを試してみましょう。まず、テスト用のリポジトリを用意し、そこにtrufflehogを使ってシークレットの検出を行います。

trufflehogを試すには、検査するためのリポジトリが必要です。以下の手順で簡単なテスト用リポジトリを作成します。

この手順でテスト用のリポジトリが準備できたら、次にtrufflehogのインストールに進みます。

trufflehogはPythonで書かれているため、Pythonの環境が必要です。インストールは簡単で、次のコマンドを実行するだけです。

pip install truffleHog

インストール後、コマンドラインからtrufflehogを実行できるようになります。Gitリポジトリ内の履歴やファイルから、trufflehogを使ってシークレットを検出できるようになります。

GitHub APIを使用してリポジトリをスキャンする場合、アクセストークンが必要です。これにより、GitHubのリソースにアクセスすることが可能になります。以下の手順でアクセストークンを取得できます。

このトークンを使うことで、trufflehogはGitHub API経由でリポジトリにアクセスできるようになります。

それでは、実際にtrufflehogを動かしてみましょう。以下のコマンドを使ってリポジトリをスキャンします。

trufflehog git https://github.com/<ユーザー名>/<リポジトリ名>

このコマンドは、指定したリポジトリのすべてのコミット履歴をスキャンし、機密情報を検出します。結果は、検出されたシークレットの詳細や、その場所が表示されます。

また、GitHubアクセストークンを使用してスキャンする場合、以下のように指定します。

trufflehog git --access-token=<GitHubアクセストークン> https://github.com/<ユーザー名>/<リポジトリ名>

trufflehogは、以下のような出力を生成します。

{
  "path": "config.json",
  "branch": "main",
  "commit": "a1b2c3d4",
  "stringsFound": ["AWS_SECRET_ACCESS_KEY"]
}

この結果は、検出されたシークレットが含まれるファイルやコミット情報を示しています。もしシークレットが誤って含まれていた場合は、速やかに削除や再生成の対策を行いましょう。

trufflehogは、リポジトリ内の機密情報を簡単に検出できる強力なツールです。特に、GitHubのような公開リポジトリでの機密情報の漏洩リスクを軽減するために役立ちます。

開発現場では、定期的にtrufflehogなどのツールを活用してリポジトリ内の機密情報をスキャンし、セキュリティリスクを最小限に抑えることが推奨されます。