Crypto Scanner, утилита с открытым исходным кодом, которая помогает автоматически находить и описывать криптографию в проектах. Инструмент опубликован в ключевой момент: после утверждения новых стандартов NIST отрасль фактически вошла в фазу плановой миграции к постквантовой защите, а начать ее без инвентаризации обычно невозможно.
Главный риск в том, что в большинстве систем до сих пор широко используются классические асимметричные алгоритмы, RSA и эллиптические кривые (ECC). Теоретически они уязвимы для алгоритма Шора, который при наличии достаточно мощного квантового компьютера позволяет решать задачи, лежащие в основе их стойкости. В больших кодовых базах вручную выявить весь такой пласт криптографии сложно и дорого, особенно если он спрятан в библиотеках, конфигурациях и старых модулях.
Crypto Scanner строит детальную карту криптоактивов: какие алгоритмы используются, где встречаются ключи, сертификаты, какие есть точки применения криптографии в коде и в конфигурациях. Это упрощает планирование миграции на постквантовые алгоритмы и помогает не потерять из виду легаси‑компоненты (устаревшие или унаследованные).
По описанию проекта, инструмент умеет сканировать код на 14 языках программирования, включая (Python, Java, Go, Rust и C++), а также анализировать конфигурационные файлы и сертификаты X.509.
Установка:
pip install crypto-scanner
crypto-scanner scan /path/to/project --html --output report.htmlСильная сторона Crypto Scanner это встроенная оценка рисков. Инструмент не просто перечисляет находки, а классифицирует их и помечает алгоритмы как квантово-уязвимые. Это снимает часть ручной рутины и помогает быстрее расставить приоритеты: что нужно менять в первую очередь, а что можно оставить на следующий этап.
Дополнительно заявлена удобная интеграция в процессы разработки: генерация отчетов в JSON и возможность включать проверки на ранних стадиях, например перед фиксацией изменений в репозитории, чтобы не допускать появления небезопасных схем шифрования в новом коде.
