gitleaks action
v2.3.7
┌─○───┐
│ │╲ │
│ │ ○ │
│ ○ ┌─┴───────────────────┐
└─░─┤ 4 github actions │
└─────────────────────┘
Gitleaks est un outil de sast pour détecter et prévenir les secrets codés en dur comme les mots de passe, les clés d'API et les jetons dans Git Repos. Gitleaks est une solution tout-en-un facile à utiliser pour détecter les secrets, passés ou présents, dans votre code. Permettez à Gitleaks-action dans vos flux de travail GitHub d'être alertés lorsque les secrets sont divulgués dès qu'ils se produisent. Consultez nos démos ici (.gif) et ici (.png), ou voyez ce qui est nouveau dans V2 ici. N'oubliez pas de consulter notre blog, qui détaille comment configurer et configurer Gitleaks-Action pour les organisations et les entreprises.
name : gitleaks
on :
pull_request :
push :
workflow_dispatch :
schedule :
- cron : " 0 4 * * * " # run once a day at 4 AM
jobs :
scan :
name : gitleaks
runs-on : ubuntu-latest
steps :
- uses : actions/checkout@v4
with :
fetch-depth : 0
- uses : gitleaks/gitleaks-action@v2
env :
GITHUB_TOKEN : ${{ secrets.GITHUB_TOKEN }}
GITLEAKS_LICENSE : ${{ secrets.GITLEAKS_LICENSE}} # Only required for Organizations, not personal accounts.GITHUB_TOKEN : cette variable est automatiquement attribuée par GitHub lorsqu'une action est lancée. Vous pouvez en savoir plus sur le jeton ici. Gitleaks-action utilise ce jeton pour appeler une API GitHub pour commenter les PR.GITLEAKS_LICENSE (requis pour les organisations, non requis pour les comptes d'utilisateurs): une licence Gitleaks-Action peut être obtenue sur gitleaks.io. Il doit être ajouté en tant que secret crypté au dépôt ou à l'organisation.GITLEAKS_NOTIFY_USER_LIST (facultatif): une liste des comptes GitHub qui devraient être alertés lorsque Gitleaks-action détecte une fuite. Un e-mail sera envoyé par GitHub à l'utilisateur si ses paramètres de notification GitHub le permettent. Le format doit être séparé des virgules avec chaque nom d'utilisateur préfixé avec @ . Ex: @octocat,@zricethezav,@gitleaks . Les espaces vont aussi bien.GITLEAKS_ENABLE_COMMENTS (facultatif): valeur booléenne qui s'allume ou désactivez les commentaires des relations publiques. La valeur par défaut est true . Réglé sur false pour désactiver les commentaires.GITLEAKS_CONFIG (facultatif): chemin vers un fichier de configuration Gitleaks.GITLEAKS_ENABLE_UPLOAD_ARTIFACT (facultatif): valeur booléenne qui s'allume ou décharge un artefact Sarif lorsque Gitleaks détecte les secrets. Par défaut est true .GITLEAKS_ENABLE_SUMMARY (facultatif): valeur booléenne pour activer ou désactiver le résumé de l'emploi Gitleaks. Par défaut est true .GITLEAKS_VERSION (facultatif): une version particulière de Gitleaks à utiliser (par exemple 8.15.3 , pas de préfixe v ) ou utiliser latest pour toujours utiliser la dernière version disponible. Par défaut est un numéro de version codé dur. Si vous numérisez des références qui appartiennent à un compte d'organisation, vous devrez obtenir une clé de licence gratuite
Si vous numérisez des dépôts qui appartiennent à un compte personnel, aucune clé de licence n'est requise.
Vous pouvez visiter Gitleaks.io pour vous inscrire à une clé de licence gratuite. Cliquez sur "Inscription" vous amènera à un formulaire Google où vous devrez fournir le nom, le courrier électronique et l'entreprise. Un e-mail avec une clé de licence apparaîtra peu de temps après la soumission.
Tu peux! Cette action GitHub suit un ordre de priorité similaire à celle de l'outil Gitleaks CLI. Vous pouvez utiliser GITLEAKS_CONFIG pour définir explicitement un chemin de configuration ou créer un gitleaks.toml à la racine du référentiel qui sera automatiquement détecté et utilisé par Gitleaks-action .
Les seules données que Gitleaks-Action envoie à un tiers est des données liées à la validation de la clé de licence (à savoir GITLEAKS_LICENSE , le nom de réapprence et le propriétaire de Repo), qui est envoyé au service de validation de la clé de licence, Keygen. Votre code ne quitte jamais GitHub car la numérisation se déroule dans le conteneur Docker GitHub Actions.
Vous pouvez mais il n'est pas recommandé car il donne un faux sentiment de sécurité. Si un secret est divulgué dans un engagement, puis supprimé dans un engagement ultérieur, l'alerte de sécurité dans le tableau de bord de sécurité GitHub sera considérée comme résolue, même si le secret est toujours visible dans l'histoire des engagements. Pour vraiment aborder la fuite, vous devez faire pivoter le secret (et envisager également de réécrire l'histoire du GIT pour éliminer complètement la fuite).
21/06/2022
Le 21 juin 2022, nous avons fusionné Gitleaks Action V2 dans la branche master . Il s'agissait d'une mise à jour de rupture, et nous avons fait un effort pour contacter autant de nos utilisateurs que possible via Github, les médias sociaux, etc. Si vous ne saviez pas que cette mise à jour de rupture allait arriver, nous nous excusons sincèrement pour l'inconvénient. La bonne nouvelle est que le recours à l'échec du travail est simple! Vous pouvez soit:
Veuillez noter que si vous numérisez des dépositions qui appartiennent à une organisation, vous devrez acquérir une Gitleaks_license pour utiliser V2 (licence d'essai "gratuite disponible). Cela pourrait être une surprise pour mes utilisateurs qui sont habitués à utiliser gratuitement Gitleaks-action, alors j'ai écrit un article de blog expliquant comment / pourquoi j'ai décidé de monétiser ce projet: https://blog.gitleaks.io/gitleaks-lc-announing-d7d06a52e801
Enfin, veuillez voir ci-dessus pour un résumé de la raison pour laquelle je pense que vous allez adorer la nouvelle version V2: V2 Avantages
Activez ce gitleaks-action et copier <img alt="gitleaks badge" src="https://img.shields.io/badge/protected%20by-gitleaks-blue"> à votre lecture.
Depuis la v2.0.0 de Gitleaks-action, la licence est passée du MIT à une licence commerciale. Les versions antérieures de la v2.0.0 des actions Gitleaks resteront sous la licence MIT.
Veuillez consulter nos directives contributives.
Copyright © 2022 Gitleaks LLC - Tous droits réservés
