Sicherheitslücken vorbeugen: Auf Credential-Suche mit TruffleHog

Um Sicherheitslücken vorzubeugen, gibt es verschiedene Werkzeuge. Das Open-Source-Tool TruffleHog findet Geheimnisse, bevor sie in Produktion gelangen.

Artikel verschenken

(Bild: Vanessa Bahr / KI / heise medien)

08:00 Uhr

Lesezeit: 11 Min.

iX Magazin

Von

Sandro Affentranger

Sicherheitslücken vorbeugen: Auf Credential-Suche mit TruffleHog
- TruffleHog installieren
Ein öffentliches Repository scannen
Durchsuchen eines lokalen Repositorys
Integration in den Entwicklungsworkflow
Fazit

Artikel in iX 13/2025 lesen

Entwicklerinnen und Entwickler kennen das ungute Gefühl: Versehentlich landet ein API-Schlüssel, ein Datenbankpasswort oder ein persönliches Zugriffstoken im Git-Repository. TruffleHog von Truffle Security spürt solche sensiblen Daten automatisch auf und schützt vor kostspieligen Sicherheitslücken. Das Open-Source-Tool durchforstet Git-Repositorys nach allen Arten geheimer Informationen und erkennt über 700 verschiedene Zugangsberechtigungen. Es funktioniert sowohl mit lokalen Projekten als auch mit entfernten Quellcodeverwaltungssystemen wie GitHub und GitLab.

Warum ist das so wichtig? Sobald Angreifer Zugang zu einer Codebasis erlangen, suchen sie als Erstes nach solchen Geheimnissen. Ein einzelner preisgegebener Zugangsschlüssel kann den Zugriff auf komplette Produktionsumgebungen ermöglichen. Die Folgen reichen von Datenverlust über Complianceverstöße bis hin zu Millionenschäden durch Datenschutzverletzungen.

TruffleHog scannt lokale Git-Repositorys, GitHub-Organisationen, Cloud-Speicher wie S3 und GCS sowie Dateisysteme nach hartcodierten Geheimnissen.
Der intelligente Verifizierungsmechanismus geht weit über einfache Musterabgleiche hinaus und testet erkannte Credentials aktiv gegen Services.
Das Tool reduziert durch abgelaufene, widerrufene oder gefälschte Anmeldedaten verursachte Fehlalarme.
Die Integration in GitHub Actions und andere CI/CD-Systeme automatisiert die Credential-Suche und schafft mehrere Schutzebenen im Entwicklungsworkflow.

TruffleHog löst dieses Problem präventiv. Statt zu warten, bis Sicherheitsexperten eine Codeüberprüfung durchführen, können Entwicklungsteams ihre Projekte bereits während der Entwicklung scannen. Das Werkzeug integriert sich nahtlos in bestehende Arbeitsabläufe und verhindert, dass sensible Daten überhaupt in die Versionsverwaltung gelangen. Der Artikel zeigt, wie man TruffleHog installiert, konfiguriert und effektiv in Projekte einbindet.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Bonusprogramme: So zahlt die Krankenkasse Ihre neue Apple Watch

Krankenkassen bezuschussen den neuen Fitnesstracker dank Bonusprogrammen. Was Versicherungen bieten – und welche Daten sie dafür von Ihnen wollen.

Gefahr im All: Wie Roboter und Plasmastrahlen vor Weltraumschrott retten sollen

Von Navigation bis Wettervorhersage – die moderne Welt hängt an Satelliten. Die Müllwolke im Orbit droht alles zum Absturz zu bringen. Doch es gibt Lösungen.

Smarte Thermostate mit Home Assistant ausreizen

Der kostenlose Home Assistant bringt smarten Thermostaten Dinge wie Heizpläne oder Abwesenheitserkennung bei, die sie nicht können oder die extra kosten.

Mathematiker schlussfolgern: Wir leben nicht in einer Simulation

Einer Theorie nach könnte unsere Welt nichts weiter sein als eine Simulation. Mathematiker wollen nun widerlegt haben, dass wir in der Matrix leben.

Commodore 64 Ultimate: Das Multitalent mit Hardware-Emulation im Test

Mit dem Commodore 64 Ultimate kehrt ein Klassiker zurück. Wir prüfen, ob die originalgetreue Hardware-Emulation des C64 mit modernen Extras überzeugen kann.

VW Tayron eHybrid im Test: Der große Brummer

VW gibt der Idee eines vergrößerten Tiguan eine zweite Chance. Der Tayron ist erwartungsgemäß überraschungsarm und gut. Nur an einer Stelle muss VW nachlegen.