Förr i tiden när säkerhetsproblem inte var lika vanliga som i dag tänkte inte programmerare så mycket på att de skrev in behörighetsinformation, som lösenord, till databaser, system och hårdvara direkt i källkoden i programmen de byggde. Sådant gör det enkelt för hackare att få otillbörlig tillgång till olika resurser.

Läs ocskå: Utvecklare – det här behöver du ha koll på 2017

Tyvärr slarvas det med det här fortfarande. 2014 hittade en säkerhetsforskare nästan 10 000 behörighetsuppgifter för Amazons webbtjänster i publikt tillgänglig kod på Github, skriver IDG News. Efter det har Amazon börjat skanna Github på egen hand i jakt efter hårdkodad behörighetsinformation.

Förra året hittade även det svenska säkerhetsföretaget Detectify 1 500 behörighetsuppgifter för Slack som hårdkodats i projekt på Github. Det finns fler exempel på liknande upptäckter.

Nu har den amerikanska säkerhetsexperten Dylan Ayrev skapat ett verktyg som heter Truffle Hog för att leta reda på hårdkodad behörighetsinformation i källkodsfiler på Github. Truffle Hog är skrivet i Python och letar efter textsträngar som är mer än 20 tecken långa och som enkelt uttryckt har en hög grad av slumpmässighet. Det ska innebära att det är sannolikt att det handlar om behörighetsinformation.

Läs också: Github har fått en ny konkurrent i Go-baserade Gitea

När man väl hittat hårdkodad behörighetsinformation går det att rensa bort den från källkoden, vilket ger säkrare applikationer.