env-secrets-manager
Audytuj zmienne środowiskowe i tajne dane przed commitami – wykryj wycieки poświadczeń w repozytorium
Instalacja
Wybierz klienta i sklonuj repozytorium do odpowiedniego katalogu skilli.
Instalacja
O skillu
Narzędzie do zarządzania bezpieczeństwem zmiennych środowiskowych i sekretów w projektach. Skanuje repozytorium w poszukiwaniu potencjalnych wycieków poświadczeń, klasyfikuje zagrożenia według ważności i podpowiada kroki do rotacji oraz izolacji. Idealne przed pushowaniem zmian dotyczących konfiguracji, podczas audytów bezpieczeństwa lub onboardingu nowych członków zespołu. Integruje się z pipelinami CI do automatycznych kontroli.
Jak używać
Przygotuj ścieżkę do repozytorium, które chcesz przeskanować. Upewnij się, że masz dostęp do katalogu głównego projektu.
Uruchom skrypt audytora na katalogu repozytorium: python3 scripts/env_auditor.py /ścieżka/do/repo. Narzędzie przeskanuje pliki konfiguracyjne i zmienne środowiskowe w poszukiwaniu potencjalnych sekretów.
Przejrzyj wyniki, skupiając się najpierw na znalezieniach oznaczonych jako "critical" i "high". Każde znalezisko zawiera informacje o ważności i lokalizacji podejrzanego sekretu.
Jeśli potrzebujesz zintegrować wyniki z systemem CI, uruchom skrypt z flagą --json: python3 scripts/env_auditor.py /ścieżka/do/repo --json. Otrzymasz strukturalny output gotowy do przetworzenia przez pipeline.
Dla każdego potwierdzenia wycieку: obrót rzeczywiste poświadczenia w systemach produkcyjnych, usuń ujawnione wartości z repozytorium, zaktualizuj pliki .env.example i .gitignore, aby uniknąć przyszłych wycieków.
Wdrożenie kontroli w pre-commit hooks lub CI przed mergowaniem zmian, aby automatycznie wykrywać sekrety w przyszłości.