gitleaks action

  ┌─○───┐
  │ │╲  │
  │ │ ○ │
  │ ○ ┌─┴───────────────────┐
  └─░─┤  4 github actions   │
      └─────────────────────┘

GitLeaksは、Git Reposのパスワード、APIキー、トークンなどのハードコードされた秘密を検出および防止するためのSASTツールです。 GitLeaksは、コードで過去または現在の秘密を検出するための使いやすく、全面的なソリューションです。 GitHubワークフローでGitLeaks-actionを有効にしてください。こちら（.gif）とここ（.png）をご覧になるか、V2の新機能をご覧ください。私たちのブログをチェックすることを忘れないでください。これには、組織や企業向けのGitLeaks-actionを構成して設定する方法を詳しく説明しています。

 name : gitleaks
on :
  pull_request :
  push :
  workflow_dispatch :
  schedule :
    - cron : " 0 4 * * * " # run once a day at 4 AM
jobs :
  scan :
    name : gitleaks
    runs-on : ubuntu-latest
    steps :
      - uses : actions/checkout@v4
        with :
          fetch-depth : 0
      - uses : gitleaks/gitleaks-action@v2
        env :
          GITHUB_TOKEN : ${{ secrets.GITHUB_TOKEN }}
          GITLEAKS_LICENSE : ${{ secrets.GITLEAKS_LICENSE}} # Only required for Organizations, not personal accounts.

• GITHUB_TOKEN ：この変数は、アクションが開始されたときにGitHubによって自動的に割り当てられます。トークンの詳細については、こちらをご覧ください。 GitLeaks-actionはこのトークンを使用してGitHub APIを呼び出してPRSについてコメントします。
• GITLEAKS_LICENSE （組織には必要であり、ユーザーアカウントには必要ではありません）： gitleaks-actionライセンスはgitleaks.ioで取得できます。リポジトリまたは組織に暗号化された秘密として追加する必要があります。
• GITLEAKS_NOTIFY_USER_LIST （オプション）： gitleaks-actionが漏れを検出したときにアラートする必要があるgithubアカウントのリスト。 GitHub通知設定が許可されている場合、GitHubからユーザーにメールが送信されます。フォーマットは、 @が付いた各ユーザー名でコンマを分離する必要があります。例： @octocat,@zricethezav,@gitleaks 。スペースも大丈夫です。
• GITLEAKS_ENABLE_COMMENTS （オプション）：PRコメントをオンまたはオフにするブール値。デフォルト値はtrueです。コメントを無効にするためにfalseに設定します。
• GITLEAKS_CONFIG （オプション）：gitleaks構成ファイルへのパス。
• GITLEAKS_ENABLE_UPLOAD_ARTIFACT （オプション）：gitleaksが秘密を検出したときにサリフアーティファクトをオンまたはオフにするブール値。デフォルトはtrueです。
• GITLEAKS_ENABLE_SUMMARY （オプション）：gitleaksジョブの概要を有効または無効にするためのブール値。デフォルトはtrueです。
• GITLEAKS_VERSION （オプション）：使用する特定のgitleaksバージョン（ 8.15.3 、 vプレフィックスなし）またはlatest使用を使用して常に最新バージョンを使用します。デフォルトは、ハードコーディングされたバージョン番号になります。

組織アカウントに属するレポをスキャンしている場合は、無料のライセンスキーを取得する必要があります

個人アカウントに属するレポをスキャンしている場合、ライセンスキーは必要ありません。

gitleaks.ioにアクセスして、無料のライセンスキーにサインアップできます。 「サインアップ」をクリックすると、名前、電子メール、および会社を提供する必要があるGoogleフォームに移動します。ライセンスキーを含む電子メールは、提出後まもなく表示されます。

あなたはできる！このGitHubアクションは、GitLeaks CLIツールと同様の優先順位に従います。 GITLEAKS_CONFIG使用して、構成パスを明示的に設定するか、 gitleaks-actionによって自動的に検出および使用されるリポジトリのルートにgitleaks.tomlを作成できます。

GitLeaks-actionが第三者に送信する唯一のデータは、ライセンスキー検証（ GITLEAKS_LICENSE 、Repo Name、およびRepo Onser）に関連するデータです。これは、ライセンスキー検証サービスであるKeygenに送信されます。スキャンはGitHubアクションDockerコンテナ内で行われるため、コードはGitHubを離れることはありません。

あなたはできますが、それは誤った安心感を与えるので、それは推奨されません。秘密が1つのコミットでリークされ、その後のコミットで削除された場合、secretがコミット履歴にまだ表示されていても、GitHubセキュリティダッシュボードのセキュリティアラートが解決されたと表示されます。漏れを真に対処するには、秘密を回転させる必要があります（また、Git履歴を書き直してリークを完全に削除することも検討してください）。

6/21/2022

2022年6月21日、GitLeaks Action V2をmasterブランチに統合しました。これは壊れた更新であり、GitHub、ソーシャルメディアなどを介してできるだけ多くのユーザーに連絡する努力をしました。良いニュースは、仕事の失敗を改善するのは簡単です！どちらもできます：

1. V2にアップグレードします
2. 古いバージョンにピン留めします

組織に属するリポジトリをスキャンしている場合は、gitleaks_licenseを取得してV2（無料の「トライアル」ライセンスが利用可能）を使用する必要があることに注意してください。 GitLeaks-actionを無料で使用することに慣れているユーザーにとって驚きとして来るかもしれないので、このプロジェクトを収益化する方法/理由を説明するブログ投稿を書きました：https：//blog.gitleaks.io/gitleaks-llc-nouncement-d7d06a52e801

最後に、新しいV2リリースを気に入るはずだと思う理由の要約については、上記をご覧ください：V2 Benefit

このgitleaks-actionを有効にし、 <img alt="gitleaks badge" src="https://img.shields.io/badge/protected%20by-gitleaks-blue"> readmeにコピーしてください。

GitLeaks-actionのV2.0.0以降、ライセンスはMITから商業ライセンスに変更されました。 GitLeaks-actionsのV2.0.0の以前のバージョンは、MITライセンスの下に残ります。

貢献ガイドラインをご覧ください。

Copyright©2022 GitLeaks LLC -All Rights Reserved