WINDOWS下使用gitleaks扫描代码中的敏感信息

已于 2024-04-28 09:27:04 修改
阅读量621 收藏 1
点赞数 3
文章标签: 安全
于 2024-04-26 13:28:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liusa825983081/article/details/138215531
版权

gitleaks下载地址:下载链接

在页面中选择【show all assets】可以显示windows下已经编译好的程序。我们下载【gitleaks_8.18.2_windows_x64.zip】这个文件。

解压压缩包到磁盘中。我这里解压到了E盘下。

配置环境变量(可选,配置后可以直接执行命令。若不做则先需要跳转到解压后的文件夹下面运行),在path中添加刚才解压的位置。

下面可以进行代码审查了,典型的一条命令是:

gitleaks detect -s D:\workspace\xxxxx -r D:\gitleaks_report.json --no-git

detect:执行代码审查;

-s:源码路径,直接贴项目路径即可。比如我的是D:\wordspace\xxxxx

-r:报告生成路径,默认生成的是json格式

--no-git:扫描当前源码文件夹内的文件。

执行命令后等待结果即可。

若代码无敏感内容,则如下图所示提示:no leaks found。这种情况下json文件只有{},内容为空。

若代码有敏感内容,则如下图提示。这时可以查看json文件,gitleaks会把所有敏感项列出

如何配置忽略项(.gitleaksignore):

默认情况下,gitleaks会扫描出所有相关的敏感信息。但是很多信息不可避免的要写在配置文件中。所以我们需要手动指定要忽略的敏感信息路径:

当第一次扫描的时候,输出的json报告会提示配置文件中的敏感信息,如图:

很明显这是把source.properties文件中配置的密钥扫描到了,我们新建.gitleaksignore文件,并把json中的Fingerprint写入其中,如图(注意将\\转为\):

使用-i 参数指定.gitleaksignore文件的路径,再次进行扫描。即可忽略

gitleaks detect -s D:\workspace\xxxxx -r D:\gitleaks_report.json -i D:\.gitleaksignore --no-git

流泪兔兔头
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Gitleaks - 一款高效的Github仓库敏感信息泄露查询工具
大河之犬的博客
12-08 1379
Gitleaks 是一种 SAST 工具,用于检测和防止 git 存储库的硬编码机密,如密码、API 密钥和令牌Gitleaks 是一个开源工具,用于检测和防止签入 Git 存储库的机密(密码/API 密钥)。Gitleaks 的主要优点是它不仅可以扫描您最新的源代码,还可以扫描整个 git 历史记录,识别过去提交到您的源代码的任何秘密Github地址。
Git Windows 使用
zl199307的专栏
07-23 569
Git Windows使用
gitleaks - 检索 Git Commits 的各种密钥信息
WLANQY的博客
01-09 392
代码gitleaks - 检索 Git Commits 的各种密钥信息
gitleaks使用正则表达式和熵扫描git仓库(或文件)以查找机密:key:
02-04
Gitleaks是一个SAST工具,用于检测git repos的硬编码机密,例如密码,api密钥和令牌。 Gitleaks的目标是成为一种易于使用的多合一解决方案,用于在您的代码查找过去或现在的秘密。 特征: 扫描秘密 扫描未机密,作为向左转移安全性的一部分 扫描 可用的 通过toml配置的 使用高性能 JSON,SARIF和CSV报告 使用基于密钥或密码的身份验证进行私人仓库扫描 安装 Gitleaks可以与Homebrew,Docker和Go一起安装。 Gitleaks也可以从以二进制形式用于许多流行的平台和OS类型。 苹果系统 brew install gitleaks 码头工人
x-cmd pkg | gitleaks - 一个 SAST 工具,用于检测和防止git repos 的硬编码秘密,如密码、api 密钥和令牌
edwinjhlee的博客
10-08 284
gitleaks 是一个快速、轻量级的安全扫描工具,用于查找 git 存储库、文件和目录的潜在安全漏洞。
gitleaks-action:运行gitleaksGitHub操作,审核git提交的秘密
05-24
我很高兴其他一些人发现这个快速的项目很有用。 但是,由于gitleaks项目现在发布了自己的github动作来包装该工具,因此我将关闭此存储库。 我强烈建议您改为使用它。 您可以在以下位置找到它: : gitleaks动作 审核git提交有关gitleaks的机密信息,作为GitHub动作。 的复杂之处。 用法 workflow "gitleaks my commits" { on = "push" resolves = ["gitleaks"] } action "gitleaks" { uses = "eshork/gitleaks-action@master" }
Ubuntu安装gitleaks
sonichenn的博客
04-26 310
代码】Ubuntu安装gitleaks
Windows下载安装Git
我爱吃红薯的博客
09-04 133
1,下载Git:https://git-scm.com/downloads 2,安装Git 使用Git自带的Git Bash命令行工具。其他的使用默认Next即可 3,安装成功。Git --> Git Bash打开命名行,配置账号和密码标识 git config --global 参数,这是全局配置,有了这个参数,表示你这台机器上所有的Git仓库都会使用...
使用正则表达式和熵扫描git repos的秘密:key:-Golang开发
05-26
Gitleaks的目标是成为一种易于使用的多合一解决方案,用于在您的代码查找过去或现在的秘密。 Feat Gitleaks是一个SAST工具,用于检测git repos的硬编码机密,例如密码,api密钥和令牌。 Gitleaks的目标是成为一...
开源项目-zricethezav-gitleaks.zip
09-09
开源项目-zricethezav-gitleaks.zip是一个包含开源项目gitleaks的压缩包,该项目主要功能是搜索Git历史记录敏感信息,如密码、API密钥和其他机密数据,其速度比同类工具truffleHog更快。这个项目对于开发者和...
敏感词检测——C语言代码
05-15
代码实现了敏感词检测。findcode是一个用来将敏感词与句子排序后的单词先按字母顺序排序然后进行逐一比较的函数;如果两者相同,则return1;用数组下标0-25分别表示a-z字母,对应的每个下标对应的数组元素的值就是该字母在该词出现的次数。part是一个将字符串的单词剥离的函数;将敏感词从字符串剥离出来,将输入的打乱每个单词内部字母顺序的句子每个“词“剥离出来。
敏感信息检查工具 关键字过滤
08-29
敏感词过滤、查找
github-actions-gitleaks:我们自己的gitleaks动作
03-26
GitHub动作:Gitleaks 使用Gitleaks简化了Github动作。 工作流程示例 name: Gitleaks on: push jobs: snyk: runs-on: ubuntu-latest steps: - uses: actions/checkout@v2 - name: Run Gitleaks uses: eeveebank/github-actions-gitleaks@v1.0.0 with: depth: 1 - uses: github/codeql-action/upload-sarif@v1 with: sarif_file: gitleaks.sarif
git泄露查询
10-31
github的泄露信息进行检索查询,可以用于信息收集,资产探测。
泄漏:广泛的代码基础结构,用于查找文件,git存储库等的意外信息泄漏
02-12
Pown Leaks是一个活动的正则表达式数据库,可帮助您搜索泄漏,例如密码,密钥,令牌和文件的其他敏感字符串。 学分 一些签名是受到以下项目的借鉴或启发的: gitleaks- shhgit- 该工具是开源计划的一部分。 __...
探秘Gitleaks:保障代码安全的利器
最新发布
gitblog_00001的博客
05-10 469
探秘Gitleaks:保障代码安全的利器 项目地址:https://gitcode.com/gitleaks/gitleaks 在数字时代,源代码敏感信息如密码、API密钥和令牌是数据泄露的主要源头之一。针对这一问题,我们带来了Gitleaks——一个强大的静态应用程序安全性测试(SAST)工具,专为检测和预防Git仓库硬编码的秘密而设计。无论你是开发者、团队负责人还是企业安全专家,Gitl...
如何使用GitBleed从Git库镜像提取数据
Jinmindong
03-02 399
工具提供的脚本能够克隆指定Git库的副本,即常规克隆(gitclone)或使用“–mirror”选项来使用Git库镜像。接下来,该工具将会对两者进行分析,并尝试寻找只有镜像模式才存在的代码库部分。最后,工具还会尝试提取出的数据是否存在敏感信息或密码凭证等等。任务执行完成之后,工具将会输出分析结果。请注意,工具脚本的运行过程将会创建三份代码库副本,并且会消耗掉一定的磁盘空间。
DeepSecrets:一款能够理解代码语义的代码敏感信息扫描工具
FreeBuf_的博客
01-16 1088
社区很多现有的代码分析工具其实并不能够真正地“理解”代码,而是直接解析代码文本。我们还可以通过使用“--regex-rules”选项来指定使用自己的规则集,或使用“--excluded-paths”选项来排除不需要扫描代码路径。DeepSecrets是一款能够理解代码语义的代码敏感信息扫描工具,在该工具的帮助下,广大研究人员将能够更有效地扫描和分析代码敏感信息。除此之外,DeepSecrets还引入了一种搜索敏感数据的新方法,即使用已知敏感信息的哈希值并直接在代码找到对应的数据。
自动降重 github
06-21
### 回答1: 自动降重是一种自动化技术,可以用于 GitHub 等代码托管平台。在 GitHub ,大多数开源项目都由众多开发者共同参与开发,他们每天都会提交大量的代码和文件。如果这些代码和文件没有得到有效的管理和组织,很容易会导致项目的代码质量下降、出现错误、难以维护等问题。 为了解决这些问题,可以使用自动降重工具来自动化处理 GitHub 代码。这种工具可以对代码的重复代码进行识别和降重,以减少项目的代码冗余度、提高代码可读性和可维护性。 自动降重工具可以通过使用哈希算法和字符串对比等技术来识别 GitHub 的重复代码。当发现代码重复时,可以删除重复代码或将其替换为函数或方法,以减少代码的冗余度。另外,自动降重工具还可以根据程序员的偏好和优先级来删除或保留特定的代码段。 总之,自动降重是一种非常有用的技术,可以帮助我们在 GitHub 等代码托管平台上更好地管理和组织代码,提高开发效率和代码质量。 ### 回答2: 自动降重是指利用程序技术实现对 GitHub 存储库重复或冗余文件的自动化检测和删除。随着项目规模和代码库的不断增长,重复的文件或代码会导致存储空间的浪费和项目的维护效率下降。因此,自动降重技术的实现将帮助开发人员更加高效地管理代码库。 自动降重技术的实现需要使用类似 MD5、SHA 等哈希算法对文件进行签名,比较文件签名是否相同,如果相同则将文件删除。同时,还可以结合规则引擎等技术来优化降重效果和灵活性。 除了节省存储空间和提高维护效率之外,自动降重技术还可以提高代码的可读性和可维护性。因为代码仓库的重复代码和文件是容易引起混淆和错误的。使用自动降重技术可以剔除重复文件和代码,让代码更加清晰明了。 总之,自动降重技术对于管理 GitHub 代码仓库是非常有用的。它可以让开发人员更加高效地管理代码,降低维护成本,提高代码质量和可维护性。 ### 回答3: 自动降重是指在使用github时,自动对重复的代码进行筛选和删除,以减少仓库的冗余代码,提高代码质量和可维护性。一般来说,自动降重可以通过以下两种方式实现: 1. 使用git hook git hook是一种git自带的机制,通过在push或commit代码时,触发一个特定的脚本进行处理。可以编写一个git hook脚本,当有代码push或commit时,对代码进行比较,将相同的代码进行合并,删除重复的代码,最终将合并后的代码push到git仓库。 2. 使用专门的工具 除了git hook外,还有一些专门的工具可以实现自动降重,如gitleaks、truffleHog等。这些工具能够查找并删除诸如密码、API密钥等可能泄露的敏感信息,也可以查找和删除重复的代码或文件。 总的来说,自动降重可以帮助我们减少代码量,优化代码质量和可维护性,让代码更加精简、高效。但需要注意的是,自动降重只能对已有的代码进行处理,对于新的代码仍需要程序员自己进行规范和优化。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值