GN⁺: 파일을 스캔하여 높은 엔트로피 라인을 찾는 CLI 도구 Entropy

Entropy

Entropy는 코드베이스에서 높은 엔트로피 라인을 스캔하여 비밀 정보를 찾아주는 CLI 도구임.

설치 방법

Go를 이용한 소스 설치 (권장)

• go install github.com/EwenQuim/entropy@latest
• entropy 명령어 사용 가능
• 추가 옵션: entropy -h, entropy -top 20 -ext go,py,js, entropy -top 5 -ignore-ext min.js,pdf,png,jpg,jpeg,zip,mp4,gif my-folder my-file1 my-file2
• 한 줄 설치: go run github.com/EwenQuim/entropy@latest

Brew를 이용한 설치

• 작업 진행 중 (WIP)

Docker를 이용한 설치

• docker run --rm -v $(pwd):/data ewenquim/entropy /data
• 추가 옵션: docker run --rm -v $(pwd):/data ewenquim/entropy -h, docker run --rm -v $(pwd):/data ewenquim/entropy -top 20 -ext go,py,js /data, docker run --rm -v $(pwd):/data ewenquim/entropy -top 5 /data/my-folder /data/my-file
• Docker Hub에서 이미지 사용 가능
• -v 옵션은 현재 디렉토리를 컨테이너에 마운트하는 데 사용됨
• 명령어 끝에 /data를 추가해야 함, 그렇지 않으면 도구가 로컬 파일 시스템이 아닌 컨테이너 내부를 검색함

다른 프로젝트

• Fuego: 코드베이스에서 OpenAPI 문서를 생성하는 Go 프레임워크
• Renpy-Graphviz: Ren'Py 게임 엔진의 화면과 레이블을 그래프로 생성하는 도구

GN⁺의 의견

• 보안 강화: 코드베이스에서 비밀 정보를 자동으로 찾아내어 보안 강화를 도울 수 있음.
• 사용 편의성: 다양한 설치 방법을 제공하여 사용자가 편리하게 도구를 설치하고 사용할 수 있음.
• 유사 도구: 비슷한 기능을 제공하는 도구로는 git-secrets, truffleHog 등이 있음.
• 도입 고려 사항: 도구 사용 시 코드베이스의 크기와 복잡성을 고려해야 하며, 높은 엔트로피 라인이 반드시 비밀 정보를 의미하지 않을 수 있음.
• 기술 선택의 득과 실: Entropy 도입으로 보안 사고를 예방할 수 있지만, 잘못된 긍정(false positive) 결과가 나올 수 있어 추가 검토가 필요함.