Leaktopus是一款功能强大的源代码安全管理控制工具,该工具主要使用Python进行开发,并基于Code C.A.I.N框架实现其功能。
1、插件式安装:一行代码即可使用Docker完成工具安装;
2、支持扫描各种包含关键字集的代码源,当前支持GitHub和PasteBin等;
3、使用内置的启发式引擎过滤结果;
4、使用泄漏标识IOL增强结果输出,来源包括Shhgit(使用自定义规则列表)、TruffleHog、URI、电子邮件(包括所在组织的电子邮件地址)、代码贡献者和敏感关键词等;
5、支持忽略公开代码源;
6、支持忽略“垃圾”源;
7、获取代码泄漏信息;
8、内置ELK以搜索泄漏数据;
9、通知新的泄漏情况;
1、完全Docker化;
2、基于Python Flask的后端;
3、基于Vue.js 3.x的前端;
4、SQLite数据库;
5、使用Celery+Redis队列执行异步任务;
Docker-Compose
首先,使用下列命令将该项目源码克隆至本地:
git clone https://github.com/PlaytikaOSS/Leaktopus.git
然后创建一个本地.env文件:
cd Leaktopus
cp .env.example .env
根据本地环境修改.env文件,然后使用下列命令运行Leaktopus:
docker-compose up -d
接下来,在浏览器中访问下列地址来完成API的初始化安装:
http://{LEAKTOPUS_HOST}:8000/api/install
API的初始化安装完成之后,会运行在下列地址上:
http://{LEAKTOPUS_HOST}:8000/up
最后,访问下列地址即可查看工具的UI界面并开始使用Leaktopus:
http://{LEAKTOPUS_HOST}:8080
内置的启发式引擎通过以下方式过滤搜索结果以减少误报:
1、内容;
2、元数据;
3、代码源忽略列表;
广大研究人员可以访问下列地址获取OpenAPI文档:
http://{LEAKTOPUS_HOST}:8000/apidocs
本项目的开发与发布遵循AGPL-3.0开源许可证协议。
Leaktopus:
https://github.com/PlaytikaOSS/Leaktopus
https://github.com/eth0izzle/shhgit
https://github.com/trufflesecurity/trufflehog