تنزيل gitleaks action - gitleaks action Source Code Download

gitleaks action

فئات أخرى

v2.3.7

تنزيل

عمل gitleaks


  ┌─○───┐
  │ │╲  │
  │ │ ○ │
  │ ○ ┌─┴───────────────────┐
  └─░─┤  4 github actions   │
      └─────────────────────┘

Gitleaks هي أداة SAST للكشف عن الأسرار المتشددين ومنعها مثل كلمات المرور ومفاتيح API والرموز في repos git. Gitleaks هو حل سهل الاستخدام ، الكل في واحد لاكتشاف الأسرار ، في الماضي أو الحاضر ، في الكود الخاص بك. تمكين عمل Gitleaks في سير عمل GitHub الخاص بك ليتم تنبيهه عندما يتم تسريب الأسرار بمجرد حدوثها. تحقق من العروض التوضيحية هنا (.gif) وهنا (.png) ، أو انظر ما هو جديد في V2 هنا. لا تنس التحقق من مدونتنا ، والتي تفصل حول كيفية تكوين وإعداد Gitleaks-action للمؤسسات والمؤسسات.

مثال الاستخدام

 name : gitleaks
on :
  pull_request :
  push :
  workflow_dispatch :
  schedule :
    - cron : " 0 4 * * * " # run once a day at 4 AM
jobs :
  scan :
    name : gitleaks
    runs-on : ubuntu-latest
    steps :
      - uses : actions/checkout@v4
        with :
          fetch-depth : 0
      - uses : gitleaks/gitleaks-action@v2
        env :
          GITHUB_TOKEN : ${{ secrets.GITHUB_TOKEN }}
          GITLEAKS_LICENSE : ${{ secrets.GITLEAKS_LICENSE}} # Only required for Organizations, not personal accounts.

متغيرات البيئة:

GITHUB_TOKEN : يتم تعيين هذا المتغير تلقائيًا بواسطة Github عندما يتم تشغيل أي إجراء. يمكنك قراءة المزيد عن الرمز المميز هنا. يستخدم Gitleaks-action هذا الرمز المميز للاتصال بأبواع واجهة برمجة تطبيقات github للتعليق على PRS.
GITLEAKS_LICENSE (مطلوب للمؤسسات ، غير مطلوبة لحسابات المستخدمين): يمكن الحصول على ترخيص عمل gitleaks في gitleaks.io. يجب إضافته كسر مشفر إلى الريبو أو إلى المنظمة.
GITLEAKS_NOTIFY_USER_LIST (اختياري): قائمة حسابات github التي يجب تنبيهها عندما تكتشف gitleaks-action تسربًا. سيتم إرسال بريد إلكتروني بواسطة GitHub إلى المستخدم إذا سمحت إعدادات إشعار GitHub الخاصة بهم. يجب أن يكون التنسيق مفصلاً فاصلة مع كل اسم مستخدم مسود بـ @ . على سبيل المثال: @octocat,@zricethezav,@gitleaks . المساحات على ما يرام أيضا.
GITLEAKS_ENABLE_COMMENTS (اختياري): القيمة المنطقية التي يتم تشغيل أو إيقاف التعليق. القيمة الافتراضية true . ضبط على false لتعطيل التعليقات.
GITLEAKS_CONFIG (اختياري): مسار إلى ملف تكوين gitleaks.
GITLEAKS_ENABLE_UPLOAD_ARTIFACT (اختياري): القيمة المنطقية التي يتم تشغيلها أو إيقافها في تحميل قطعة أثرية SARIF عندما تكتشف gitleaks الأسرار. الافتراضات إلى true .
GITLEAKS_ENABLE_SUMMARY (اختياري): القيمة المنطقية لتمكين أو تعطيل ملخص الوظيفة gitleaks. الافتراضات إلى true .
GITLEAKS_VERSION (اختياري): إصدار معين من gitleaks لاستخدامه (على سبيل المثال 8.15.3 ، لا يوجد بادئة v ) أو استخدم latest لاستخدام أحدث إصدار متاح. الإعدادات الافتراضية لرقم إصدار مشفر.

أسئلة

هل أحتاج إلى مفتاح ترخيص مجاني ؟

إذا كنت تقوم بمسح إعادة فحص إلى حساب المؤسسة ، فستحتاج إلى الحصول على مفتاح ترخيص مجاني

إذا كنت تقوم بمسح إعادة فحصها إلى حساب شخصي ، فلن يكون هناك حاجة إلى مفتاح ترخيص.

كيف أحصل على مفتاح ترخيص مجاني ؟

يمكنك زيارة Gitleaks.io للتسجيل للحصول على مفتاح ترخيص مجاني. سيأخذك النقر فوق "التسجيل" إلى نموذج Google حيث ستحتاج إلى توفير الاسم والبريد الإلكتروني والشركة. سيتم عرض بريد إلكتروني به مفتاح ترخيص بعد التقديم بفترة قصيرة.

هل يمكنني استخدام تكوين gitleaks مخصص؟

يمكنك! يتبع هذا الإجراء github ترتيبًا مشابهًا من الأسبقية كأداة GitLeaks CLI. يمكنك استخدام GITLEAKS_CONFIG لتعيين مسار التكوين بشكل صريح أو إنشاء gitleaks.toml في جذر الريبو الذي سيتم اكتشافه تلقائيًا واستخدامه بواسطة gitleaks-action .

هل يرسل هذا الإجراء github أي بيانات إلى الأطراف الثالثة؟

البيانات الوحيدة التي يرسلها Gitleaks-action إلى أي طرف ثالث هي البيانات المتعلقة بالتحقق من صحة مفتاح الترخيص (وهي GITLEAKS_LICENSE ، واسم ريبو ، ومالك الريبو) ، والتي يتم إرسالها إلى خدمة التحقق من صحة مفتاح الترخيص ، Keygen. لا يترك الرمز الخاص بك GitHub أبدًا لأن المسح يحدث داخل حاوية Docker إجراءات GitHub.

هل يمكنني استخدام Gitleaks-action كأداة تابعة لجهة خارجية لمسح رمز Github؟

يمكنك ولكن لا ينصح به لأنه يعطي إحساسًا زائفًا بالأمان. إذا تم تسريب سر في التزام واحد ، ثم تمت إزالته في التزام لاحق ، فسيظهر تنبيه الأمن في لوحة القيادة الأمنية Github على أنه تم حله ، على الرغم من أن السر لا يزال مرئيًا في تاريخ الالتزام. لمعالجة التسرب حقًا ، يجب عليك تدوير السر (وكذلك التفكير في إعادة كتابة تاريخ GIT لإزالة التسرب تمامًا).

لماذا تفشل وظيفتي gitleaks-action فجأة؟

6/21/2022

في 21 يونيو 2022 ، قمنا بدمج Gitleaks Action V2 في الفرع master . كان هذا تحديثًا كسرًا ، وقد بذلنا جهدًا للاتصال بأكبر قدر ممكن من مستخدمينا عبر Github ووسائل التواصل الاجتماعي ، وما إلى ذلك. إذا لم تكن تعلم أن هذا التحديث الذي تم كسره سيأتي ، فإننا نعتذر بإخلاص عن الإزعاج. والخبر السار هو ، علاج فشل الوظيفة أمر واضح ومباشر! يمكنك إما:

الترقية إلى V2 ، أو
دبوس لإصدار أقدم

يرجى ملاحظة أنه إذا كنت تقوم بمسح إعادة فحص منظمة إلى مؤسسة ، فسوف يتعين عليك الحصول على gitleaks_license لاستخدام ترخيص V2 (مجاني "التجربة"). قد يكون ذلك بمثابة مفاجأة لمستخدمي الذين اعتادوا على استخدام Gitleaks-action مجانًا ، لذلك كتبت منشورًا في المدونة يشرح كيف/لماذا قررت أن أتحمل هذا المشروع: https://blog.gitleaks.io/gitleaks-llc-announgerged-d7d06a52e801

أخيرًا ، يرجى الاطلاع أعلاه للحصول على ملخص لماذا أعتقد أنك ستحب إصدار V2 الجديد: فوائد V2

كيف يمكنني الحصول على شارة gitleaks على readme الخاص بي؟

قم بتمكين عمل gitleaks ونسخه <img alt="gitleaks badge" src="https://img.shields.io/badge/protected%20by-gitleaks-blue"> إلى readme الخاص بك.

تغيير الترخيص

منذ V2.0.0 من Gitleaks-action ، تغير الترخيص من معهد ماساتشوستس للتكنولوجيا إلى ترخيص تجاري. ستبقى الإصدارات السابقة إلى v2.0.0 من أفعال gitleaks تحت رخصة معهد ماساتشوستس للتكنولوجيا.