关于Leaktopus

Leaktopus是一款功能强大的源代码安全管理控制工具，该工具主要使用Python进行开发，并基于Code C.A.I.N框架实现其功能。

关键功能

1、插件式安装：一行代码即可使用Docker完成工具安装；

2、支持扫描各种包含关键字集的代码源，当前支持GitHub和PasteBin等；

3、使用内置的启发式引擎过滤结果；

4、使用泄漏标识IOL增强结果输出，来源包括Shhgit（使用自定义规则列表）、TruffleHog、URI、电子邮件（包括所在组织的电子邮件地址）、代码贡献者和敏感关键词等；

5、支持忽略公开代码源；

6、支持忽略“垃圾”源；

7、获取代码泄漏信息；

8、内置ELK以搜索泄漏数据；

9、通知新的泄漏情况；

工具技术栈

1、完全Docker化；

2、基于Python Flask的后端；

3、基于Vue.js 3.x的前端；

4、SQLite数据库；

5、使用Celery+Redis队列执行异步任务；

工具要求

Docker-Compose

工具安装

首先，使用下列命令将该项目源码克隆至本地：

git clone https://github.com/PlaytikaOSS/Leaktopus.git

然后创建一个本地.env文件：

cd Leaktopus

cp .env.example .env

根据本地环境修改.env文件，然后使用下列命令运行Leaktopus：

docker-compose up -d

接下来，在浏览器中访问下列地址来完成API的初始化安装：

http://{LEAKTOPUS_HOST}:8000/api/install

API的初始化安装完成之后，会运行在下列地址上：

http://{LEAKTOPUS_HOST}:8000/up

最后，访问下列地址即可查看工具的UI界面并开始使用Leaktopus：

http://{LEAKTOPUS_HOST}:8080

启发式引擎过滤结果

内置的启发式引擎通过以下方式过滤搜索结果以减少误报：

1、内容；

2、元数据；

3、代码源忽略列表；

API文档

广大研究人员可以访问下列地址获取OpenAPI文档：

http://{LEAKTOPUS_HOST}:8000/apidocs

许可证协议

本项目的开发与发布遵循AGPL-3.0开源许可证协议。

项目地址

Leaktopus：【GitHub传送门】

参考资料

https://github.com/eth0izzle/shhgit

https://github.com/trufflesecurity/trufflehog