如何使用Git-Secrets防止将敏感信息意外上传至Git库

关于Git-Secrets

Git-secrets是一款功能强大的开发安全工具,该工具可以防止开发人员意外将密码和其他敏感信息上传到Git库中。

Git-secrets首先会扫描提交的代码和说明,当与用户预先配置的正则表达式模式匹配时,便会阻止此次提交。该工具的优势在于可以集成到CI/CD管道中以实时监控提交信息,但不足之处在于,该工具主要基于正则表达式实现其检测功能,因此可能会有一定程度的误报。

工具安装

广大研究人员可以使用下列命令将该项目源码克隆至本地:

复制代码
git clone https://github.com/awslabs/git-secrets.git

然后切换到项目目录中,根据对应的操作系统执行不同的安装命令:

复制代码
cd git-secrets

*nix(Linux/macOS)

复制代码
make install

Windows

复制代码
PS > ./install.ps1

Homebrew安装

复制代码
brew install git-secrets

工具使用命令

复制代码
git secrets --scan [-r|--recursive] [--cached] [--no-index] [--untracked] [<files>...]

git secrets --scan-history

git secrets --install [-f|--force] [<target-directory>]

git secrets --list [--global]

git secrets --add [-a|--allowed] [-l|--literal] [--global] <pattern>

git secrets --add-provider [--global] <command> [arguments...]

git secrets --register-aws [--global]

git secrets --aws-provider [<credentials-file>]

--scan命令

扫描代码库中所有文件:

复制代码
git secrets --scan

扫描单个文件:

复制代码
git secrets --scan /path/to/file

递归扫描目录:

复制代码
git secrets --scan -r /path/to/directory

扫描多个文件:

复制代码
git secrets --scan /path/to/file /path/to/other/file

全局扫描:

复制代码
git secrets --scan /path/to/directory/*

从stdin扫描:

复制代码
echo 'hello!' | git secrets --scan -

--add命令

向当前代码库添加禁止的正则模式:

复制代码
git secrets --add '[A-Z0-9]{20}'

向全局git配置添加禁止的正则模式:

复制代码
git secrets --add --global '[A-Z0-9]{20}'

添加一个逐字扫描的字符串(+字符会被转义):

复制代码
git secrets --add --literal 'foo+bar'

添加允许的正则模式:

复制代码
git secrets --add -a 'allowed pattern'

工具使用样例

假设我们给定下列主题的文本信息(存储在/tmp/example中):

复制代码
This is a test!

password=ex@mplepassword

password=******

More test...

并注册以下正则检测模式:

复制代码
git secrets --add 'password\s*=\s*.+'

git secrets --add --allowed --literal 'ex@mplepassword'

运行下列命令:

复制代码
git secrets --scan /tmp/example

执行后工具会输出下列错误信息:

复制代码
/tmp/example:3:password=******

 

[ERROR] Matched prohibited pattern

 

Possible mitigations:

- Mark false positives as allowed using: git config --add secrets.allowed ...

- List your configured patterns: git config --get-all secrets.patterns

- List your configured allowed patterns: git config --get-all secrets.allowed

- Use --no-verify if this is a one-time false positive

上述正则表达式模式"password\s*=\s*.+"将匹配下列内容:

复制代码
/tmp/example:2:password=ex@mplepassword

/tmp/example:3:password=******

不过,第一行password会被忽略,因为它匹配第一个允许通过的正则表达式"'ex@mplepassword'"。

我们还可以使用下列命令将整个文件列入白名单中:

复制代码
git secrets --add --allowed '/tmp/example:.*'

git secrets --scan /tmp/example && echo $?

# Outputs: 0

或者指定某个文件的指定行代码列入白名单:

复制代码
git secrets --add --allowed '/tmp/example:3:.*'

git secrets --scan /tmp/example && echo $?

# Outputs: 0

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可证协议。

项目地址

Git-Secrets :【GitHub传送门

相关推荐
XIE3922 小时前
如何开发一个脚手架
前端·javascript·git·npm·node.js·github
不爱吃萝卜的嘤嘤怪3 小时前
Github工作流
github
stormsha5 小时前
如何在 .gitignore 中仅保留特定文件:以忽略文件夹中的所有文件为例
git
漆黑的莫莫7 小时前
经验笔记:git checkout 与 git switch
笔记·git
是Yu欸7 小时前
【Github】如何使用Git将本地项目上传到Github
人工智能·git·深度学习·github·论文笔记·cvpr
是垚不是土10 小时前
Ansible--自动化运维工具
运维·git·学习·自动化·云计算·ansible
originalHSL12 小时前
Load-Balanced-Online-OJ(负载均衡式在线OJ)
linux·c++·git·vscode·http·https·json
PBitW12 小时前
git 中容易遗忘的点!
前端·git·面试
vvw&14 小时前
使用 Nginx 在 Ubuntu 22.04 上安装 LibreNMS 开源网络监控系统
linux·运维·服务器·nginx·ubuntu·github·librenms
狂奔solar15 小时前
AWS codebuild + jenkins + github 实践CI/CD
ci/cd·github·jenkins·codebuild