gitleaks action
v2.3.7
┌─○───┐
│ │╲ │
│ │ ○ │
│ ○ ┌─┴───────────────────┐
└─░─┤ 4 github actions │
└─────────────────────┘
Gitleaks es una herramienta SAST para detectar y prevenir secretos codificados como contraseñas, claves API y tokens en Git Repos. Gitleaks es una solución todo en uno fácil de usar para detectar secretos, pasados o presentes, en su código. Habilite Gitleaks-Action en sus flujos de trabajo GitHub para ser alertados cuando se filtren los secretos tan pronto como ocurran. Echa un vistazo a nuestras demostraciones aquí (.gif) y aquí (.png), o vea qué hay de nuevo en V2 aquí. No olvide consultar nuestro blog, que detalla cómo configurar y configurar Gitleaks-Action para organizaciones y empresas.
name : gitleaks
on :
pull_request :
push :
workflow_dispatch :
schedule :
- cron : " 0 4 * * * " # run once a day at 4 AM
jobs :
scan :
name : gitleaks
runs-on : ubuntu-latest
steps :
- uses : actions/checkout@v4
with :
fetch-depth : 0
- uses : gitleaks/gitleaks-action@v2
env :
GITHUB_TOKEN : ${{ secrets.GITHUB_TOKEN }}
GITLEAKS_LICENSE : ${{ secrets.GITLEAKS_LICENSE}} # Only required for Organizations, not personal accounts.GITHUB_TOKEN : GitHub asigna automáticamente a esta variable cuando se inicia cualquier acción. Puedes leer más sobre el token aquí. Gitleaks-Action usa este token para llamar a una API de GitHub para comentar sobre PRS.GITLEAKS_LICENSE (requerido para organizaciones, no requeridos para cuentas de usuario): se puede obtener una licencia de acción gitleaks en gitleaks.io. Debe agregarse como un secreto encriptado para el repositorio o para la organización.GITLEAKS_NOTIFY_USER_LIST (opcional): una lista de cuentas de GitHub que debe alertarse cuando Gitleaks-Action detecta una fuga. GitHub enviará un correo electrónico al usuario si su configuración de notificación de GitHub lo permite. El formato debe estar separado con cada nombre de usuario con prefijo con @ . Ej: @octocat,@zricethezav,@gitleaks . Los espacios también están bien.GITLEAKS_ENABLE_COMMENTS (opcional): valor booleano que se enciende o desactiva los comentarios de relaciones públicas. El valor predeterminado es true . Establecer en false para deshabilitar los comentarios.GITLEAKS_CONFIG (opcional): ruta a un archivo de configuración de gitleaks.GITLEAKS_ENABLE_UPLOAD_ARTIFACT (opcional): valor booleano que se enciende o se apaga cargar un artefacto SARIF cuando Gitleaks detecta secretos. El valor predeterminado es true .GITLEAKS_ENABLE_SUMMARY (opcional): valor booleano para habilitar o deshabilitar el resumen del trabajo de Gitleaks. El valor predeterminado es true .GITLEAKS_VERSION (opcional): una versión de Gitleaks particular para usar (por ejemplo, 8.15.3 , sin prefijo v ) o usar latest para usar siempre la versión más nueva disponible. El valor predeterminado es un número de versión codificado. Si está escaneando reposuras que pertenecen a una cuenta de organización, deberá obtener una clave de licencia gratuita
Si está escaneando reposuras que pertenecen a una cuenta personal, entonces no se requiere una clave de licencia.
Puede visitar gitleaks.io para registrarse para obtener una clave de licencia gratuita. Haga clic en "Registrarse" lo llevará a un formulario de Google donde necesitará suministrar nombre, correo electrónico y empresa. Un correo electrónico con una clave de licencia aparecerá poco después del envío.
¡Puede! Esta acción de Github sigue un orden de precedencia similar a la herramienta Gitleaks CLI. Puede usar GITLEAKS_CONFIG para establecer explícitamente una ruta de configuración o crear un gitleaks.toml en la raíz del repositorio que será detectado y utilizado automáticamente por Gitleaks-Action .
Los únicos datos que Gitleaks-Action envía a cualquier tercero son los datos relacionados con la validación de la clave de licencia (a saber, GITLEAKS_LICENSE , Repo Name y Repo Propietario), que se envía al servicio de validación de clave de licencia, Keygen. Su código nunca deja GitHub porque el escaneo tiene lugar dentro del contenedor Docker de GitHub Actions.
Puede , pero no se recomienda porque da una falsa sensación de seguridad. Si se filtra un secreto en una confirmación, luego se elimina en una confirmación posterior, la alerta de seguridad en el tablero de seguridad de GitHub se mostrará como resuelto, a pesar de que el secreto aún es visible en el historial de confirmación. Para abordar realmente la fuga, debe rotar el secreto (y también considerar reescribir el historial GIT para eliminar la fuga por completo).
21/06/2022
El 21 de junio de 2022, fusionamos Gitleaks Action V2 en la rama master . Esta fue una actualización de la ruptura, y nos esforzamos por contactar a tantos usuarios como sea posible a través de Github, las redes sociales, etc. Si no sabía que esta actualización de ruptura se acercaba, nos disculpamos sinceramente por las molestias. ¡La buena noticia es que remediar el fracaso del trabajo es sencillo! Tú puedes:
Tenga en cuenta que si está escaneando Repos que pertenecen a una organización, tendrá que adquirir un gitleaks_license para usar V2 (licencia gratuita de "prueba" disponible). Eso podría ser una sorpresa para mis usuarios que están acostumbrados a usar Gitleaks-Action de forma gratuita, así que escribí una publicación de blog que explica cómo/por qué decidí monetizar este proyecto: https://blog.gitleaks.io/gitleaks-llc-annoNUNUD-D7D06A52E801
Finalmente, vea arriba para obtener un resumen de por qué creo que te encantará el nuevo lanzamiento de V2: V2 Beneficios
Habilite este gitleaks-acción y copie <img alt="gitleaks badge" src="https://img.shields.io/badge/protected%20by-gitleaks-blue"> a su readme.
Desde V2.0.0 de Gitleaks-Action, la licencia ha cambiado de MIT a una licencia comercial. Las versiones anteriores a V2.0.0 de Gitleaks-Actions permanecerán bajo la licencia MIT.
Consulte nuestras pautas contribuyentes.
Copyright © 2022 Gitleaks LLC - Todos los derechos reservados
