ggshield-scanner

Narzędzie do skanowania repozytorium Git w poszukiwaniu ponad 500 typów tajnych danych: kluczy API, tokenów dostępu, haseł do baz danych i certyfikatów. Zanim zacommitujesz kod, ggshield sprawdza całą historię projektu i wykrywa wrażliwe dane, które mogą prowadzić do kompromitacji infrastruktury, wycieku danych klientów lub ogromnych rachunków za usługi chmurowe. Integruje się z Git jako pre-commit hook.

1. Zainstaluj ggshield CLI na swoim komputerze, jeśli jeszcze go nie masz. Skill wymaga binarki ggshield oraz zmiennej środowiskowej GITGUARDIAN_API_KEY (klucz API z GitGuardiana).

2. Aby skanować całe repozytorium w poszukiwaniu tajnych danych, użyj komendy scan-repo z ścieżką do projektu. Narzędzie przeskanuje wszystkie pliki i historię Git, wyświetlając liczbę przeskanowanych plików oraz znalezione sekrety z dokładnym wskazaniem lokalizacji (plik i numer linii).

3. Jeśli chcesz szybko sprawdzić tylko zmienione pliki przed commitem, użyj scan-staged, która skanuje wyłącznie zmianę dodane do staging area Git. To znacznie przyspiesza pracę w dużych projektach.

4. Dla pojedynczych plików zastosuj scan-file z ścieżką do konkretnego pliku, na przykład gdy chcesz sprawdzić plik konfiguracyjny lub .env.

5. Aby zautomatyzować proces i nigdy nie zacommitować sekretu, zainstaluj pre-commit hook za pomocą install-hooks. Od tego momentu każdy commit będzie automatycznie skanowany, a operacja zostanie zablokowana, jeśli zostaną znalezione tajne dane.

6. Jeśli hook wykryje sekret, możesz go usunąć z kodu lub dodać do listy ignorowanych za pomocą komendy ggshield secret ignore --last-found, jeśli jest to fałszywy alarm.