Leaktopus:一款功能强大的源代码安全管理控制工具
2023-4-12 18:49:6 Author: FreeBuf(查看原文) 阅读量:15 收藏

 关于Leaktopus 

Leaktopus是一款功能强大的源代码安全管理控制工具,该工具主要使用Python进行开发,并基于Code C.A.I.N框架实现其功能。

 关键功能 

1、插件式安装:一行代码即可使用Docker完成工具安装;

2、支持扫描各种包含关键字集的代码源,当前支持GitHub和PasteBin等;

3、使用内置的启发式引擎过滤结果;

4、使用泄漏标识IOL增强结果输出,来源包括Shhgit(使用自定义规则列表)、TruffleHog、URI、电子邮件(包括所在组织的电子邮件地址)、代码贡献者和敏感关键词等;

5、支持忽略公开代码源;

6、支持忽略“垃圾”源;

7、获取代码泄漏信息;

8、内置ELK以搜索泄漏数据;

9、通知新的泄漏情况;

 工具技术栈 

1、完全Docker化;

2、基于Python Flask的后端;

3、基于Vue.js 3.x的前端;

4、SQLite数据库;

5、使用Celery+Redis队列执行异步任务;

 工具要求 

Docker-Compose

 工具安装 

首先,使用下列命令将该项目源码克隆至本地:

git clone https://github.com/PlaytikaOSS/Leaktopus.git

然后创建一个本地.env文件:

cd Leaktopus
cp .env.example .env

根据本地环境修改.env文件,然后使用下列命令运行Leaktopus:

docker-compose up -d

接下来,在浏览器中访问下列地址来完成API的初始化安装:

http://{LEAKTOPUS_HOST}:8000/api/install

API的初始化安装完成之后,会运行在下列地址上:

http://{LEAKTOPUS_HOST}:8000/up

最后,访问下列地址即可查看工具的UI界面并开始使用Leaktopus:

http://{LEAKTOPUS_HOST}:8080

 启发式引擎过滤结果 

内置的启发式引擎通过以下方式过滤搜索结果以减少误报:

1、内容;

2、元数据;

3、代码源忽略列表;

 API文档 

广大研究人员可以访问下列地址获取OpenAPI文档:

http://{LEAKTOPUS_HOST}:8000/apidocs

 许可证协议 

本项目的开发与发布遵循AGPL-3.0开源许可证协议。

 项目地址 

Leaktopus

https://github.com/PlaytikaOSS/Leaktopus

参考资料:

https://github.com/eth0izzle/shhgit

https://github.com/trufflesecurity/trufflehog

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651222070&idx=4&sn=c19c888c9a477972b55eecaf2382eb76&chksm=bd1de2bd8a6a6babc29120a26504fc1d9a886c57c5a86bf32ce1511b8da0cf45062f106d2b0e#rd
如有侵权请联系:admin#unsafe.sh