Texto de: Lucas Galdino
Introdução
Programadores em geral podem acabar cometendo pequenos deslizes, como deixar senhas, chaves de acesso ou outras informações sensíveis dentro do código que escrevem. Mesmo sem querer, esses "segredos" podem acabar ficando visíveis para outras pessoas, principalmente quando o código é compartilhado em plataformas como o GitHub. É aí que entra uma ferramenta chamada TruffleHog.
Com um nome curioso que em tradução livre seria algo como "porco das trufas", o TruffleHog foi criado para vasculhar repositórios de código em busca de informações confidenciais que não deveriam estar ali. Assim como um porco treinado para encontrar trufas escondidas no chão, essa ferramenta "fareja" segredos escondidos entre as linhas de código.
Como funciona?
A primeira coisa que o TruffleHog faz é vasculhar todo o repositório de código. Isso inclui não só os arquivos visíveis atualmente, mas também todo o histórico de alterações, mesmo aquelas que foram feitas há meses ou anos. Essa é uma das grandes vantagens da ferramenta: ela consegue encontrar informações que talvez tenham sido apagadas do código, mas que ainda estejam registradas no histórico do projeto.
Após abrir todos os arquivos, o TruffleHog começa a buscar por padrões que se parecem com informações sensíveis. Ele reconhece formatos de:
- Chaves de acesso de serviços como Amazon, Google ou Microsoft
- Senhas digitadas diretamente no código
- Tokens usados em integrações com outras ferramentas
- Informações codificadas que podem esconder dados privados
A ferramenta usa regras inteligentes para saber o que pode ser um risco, e isso torna a análise muito mais precisa.
Em versões mais recentes, o TruffleHog também pode ir além: testa alguns dos segredos encontrados para ver se eles ainda são válidos. Por exemplo, se encontrar uma chave de acesso da Amazon, pode tentar verificar se ela ainda funciona. Isso ajuda a evitar alarmes falsos e foca nos riscos reais.
Quando termina a varredura, o TruffleHog apresenta um relatório completo com tudo o que encontrou: quais arquivos têm possíveis segredos, quando eles foram inseridos e de que tipo são. Isso permite que os responsáveis pelo projeto façam as correções necessárias rapidamente.
Instalando e utilizando
É possível encontrar a página oficial do TruffleHog no GitHub oficial da ferramenta: https://github.com/trufflesecurity/trufflehog
Nessa página, é possível encontrar as diversas formas de se fazer a instalação e o uso da ferramenta. A instalação pode ser feita diretamente no sistema MacOS com o uso do Brew ou utilizando Docker. Também é possível procurar na página de releases por versões para Windows e Linux.
Dentro da página oficial, também temos vários exemplos de comandos que podemos utilizar para fazer o uso da ferramenta e verificar como ela funciona. Um dos exemplos faz uma análise de um repositório interno da equipe do TruffleHog:
trufflehog git https://github.com/trufflesecurity/test_keys --results=verified,unknown 
Nos resultados, é possível ver “trufas” sendo encontradas dentro do código, gerando esses pequenos alertas que podem ajudar bastante a dar aquela limpada no código.
Um outro uso bem interessante do TruffleHog é automatizar a ferramenta através da função GitHub Actions do próprio GitHub, com isso é possível fazer com que o TruffleHog faça uma análise automática sempre que um novo commit acontecer no repositório ou somente durante a abertura de um novo PR, vai depender da configuração que a equipe escolher.
Conclusão
O TruffleHog funciona como um guarda-costas digital: vasculha o passado e o presente do seu projeto em busca de qualquer informação confidencial que não deveria estar ali. E o melhor de tudo é que ele faz isso de forma automática, rápida e eficiente.
Num mundo onde a segurança da informação é cada vez mais importante, ferramentas como o TruffleHog são indispensáveis para proteger dados e evitar riscos desnecessários.
