1.7 KiB
1.7 KiB
title, type, tags, sources, last_updated
| title | type | tags | sources | last_updated | |||||
|---|---|---|---|---|---|---|---|---|---|
| TruffleHog | entity |
|
|
2026-04-22 |
Aliases
- TruffleHog
- trufflehog
- Truffle Hog
Definition
TruffleHog 是一个开源的 Git secrets scanning 工具,通过正则表达式和 entropy 分析检测 Git 仓库中的硬编码凭证(API keys、tokens、passwords、private keys 等)。支持 GitHub、GitLab、Gitea 等所有 Git 服务,是 DevSecOps 和 AI Agent 安全运营的必备工具。
Core Features
- High-entropy 检测:识别随机字符串形式的 API keys
- 正则匹配:识别常见凭证格式(AWS keys、Slack tokens、JWTs 等)
- Git 历史扫描:扫描整个 Git 历史中的 secrets(og commit 检测)
- CI/CD 集成:支持 GitHub Actions、GitLab CI、Gitea Actions 等
In Home Lab Context
在 self-healing-home-server 的安全 checklist 中,TruffleHog 是第一道防线:
- Pre-push hooks:在 Agent commit 之前阻断包含 secrets 的代码
- 配合 Gitea CI pipeline 使用
- 与 1Password 专用 AI vault 共同构成纵深防御
Critical Insight
"AI assistants will happily hardcode secrets. They sometimes don't have the same instincts humans do." — Nathan(OpenClaw 用户)
AI Agent 在生成代码时倾向于直接写入 API keys,这是 AI Agent 基础设施安全的 #1 风险。TruffleHog pre-push hooks 是必须配置的防线。
Connections
- Defense-in-Depth — TruffleHog 作为多层安全防御的第一环
- Local-first Git — 与 Gitea 配合实现安全 Git 工作流
- 1Password — Agent secrets 的安全存储方案
- OpenClaw — 需要 TruffleHog 保护的 Agent 平台