x-cmd pkg | gitleaks - 一个 SAST 工具，用于检测和防止git repos 中的硬编码秘密，如密码、api 密钥和令牌

简介

gitleaks 是一个快速、轻量级的安全扫描工具，用于查找 git 存储库、文件和目录中的潜在安全漏洞。

首次用户

1. 使用 x gitleaks 即可自动下载并使用

   • 在终端运行 eval "$(curl https://get.x-cmd.com)" 即可完成 x 命令安装, 详情参考 x-cmd 官网

2. x-cmd 提供1分钟教程，其中包含了 gitleaks 命令常用功能的 demo 示例，可以帮你快速上手 gitleaks 。

3. 使用案例:

功能特点

1. 丰富的 secret 支持：gitleaks 支持超过 160 种 secret 类型，并持续添加新的类型，以确保你的代码不会泄露密码、API 密钥、证书等敏感信息。
2. 自定义规则：你可以在项目的根目录创建 .gitleaks.toml 文件，根据 gitleaks 提供的配置格式编写自己的检测规则，以满足特定需求。
3. 历史 commit 检测：gitleaks 不仅扫描最新的源代码，还能够回溯整个 git 历史记录，查找过去提交到代码库的敏感信息，确保历史不会成为漏洞的源头。
4. 文件和目录检测：不仅可以扫描代码文件，还可以检测整个目录，确保你的整个项目中不会存在安全漏洞。如果需要在非 git 存储库中使用 gitleaks，可以通过 --no-git 参数来检测。

竞品和相关作品

1. GitGuardian：
   • 优势：支持多种云代码托管平台，包括 GitHub、GitLab 和 Bitbucket。具有强大的自定义规则功能，可以检测各种敏感信息类型。
   • 劣势：需要付费订阅才能获得完整功能。相对于 gitleaks，可能配置和使用上稍显复杂。
2. TruffleHog：
   • 优势：开源工具，易于安装和使用。可以检测到常见的高危敏感信息，如密码和 API 密钥。
   • 劣势：功能相对较简单，不如 gitleaks 和 GitGuardian 支持广泛的 secret 类型和自定义规则。

进一步阅读

• Gitleaks 源代码 - gitleaks 项目的源代码托管在 GitHub，你可以在这里找到最新版本的 gitleaks 和参与社区贡献。
• What is Gitleaks and how to use it? - 该文章介绍了 Gitleaks 是什么和如何使用它。
• Securing Your Codebase with GitLeaks - 该文章介绍了如何使用 Gitleaks 保护您的代码库。
• Using gitleaks to detect hardcoded secrets - 该文章介绍了如何使用 Gitleaks 检测硬编码机密。
• How to Use Gitleaks to Prevent Pushing Sensitive Info - 该文章介绍了如何使用 Giteaks 防止推送敏感信息。