gitleaks action
v2.3.7
┌─○───┐
│ │╲ │
│ │ ○ │
│ ○ ┌─┴───────────────────┐
└─░─┤ 4 github actions │
└─────────────────────┘
GitLeaks는 git repos의 암호, API 키 및 토큰과 같은 하드 코드 비밀을 감지하고 방지하기위한 SAST 도구입니다. GitLeaks는 코드에서 과거 또는 현재의 비밀을 감지하기위한 사용하기 쉬운 올인원 솔루션입니다. GitHub 워크 플로에서 GitLeaks-Action을 활성화하여 비밀이 발생하자마자 유출되면 경고 할 수 있습니다. 여기에서 데모 (.gif)와 여기 (.png)를 확인하거나 V2의 새로운 기능을 확인하십시오. 조직 및 기업을위한 GitLeaks-Action을 구성하고 설정하는 방법에 대해 자세히 설명하는 블로그를 확인하는 것을 잊지 마십시오.
name : gitleaks
on :
pull_request :
push :
workflow_dispatch :
schedule :
- cron : " 0 4 * * * " # run once a day at 4 AM
jobs :
scan :
name : gitleaks
runs-on : ubuntu-latest
steps :
- uses : actions/checkout@v4
with :
fetch-depth : 0
- uses : gitleaks/gitleaks-action@v2
env :
GITHUB_TOKEN : ${{ secrets.GITHUB_TOKEN }}
GITLEAKS_LICENSE : ${{ secrets.GITLEAKS_LICENSE}} # Only required for Organizations, not personal accounts.GITHUB_TOKEN :이 변수는 조치가 시작될 때 Github에 의해 자동으로 할당됩니다. 토큰에 대한 자세한 내용은 여기를 참조하십시오. Gitleaks-Action 은이 토큰을 사용하여 Github API를 호출하여 PR에 대해 의견을 제시합니다.GITLEAKS_LICENSE (사용자 계정에 필요하지 않은 조직에 필요) : gitleaks-Action 라이센스는 gitleaks.io에서 얻을 수 있습니다. 리포 나 조직에 암호화 된 비밀로 추가되어야합니다.GITLEAKS_NOTIFY_USER_LIST (선택 사항) : Gitleaks-Action이 누출을 감지 할 때 경고 해야하는 GitHub 계정 목록. GitHub 알림 설정이 허용되면 GitHub에 의해 이메일을 사용자에게 전송합니다. 형식은 @ 로 접두사로 된 각 사용자 이름으로 쉼표로 구분해야합니다. 예 : @octocat,@zricethezav,@gitleaks . 공간도 괜찮습니다.GITLEAKS_ENABLE_COMMENTS (선택 사항) : PR 주석을 켜거나 끄는 부울 값. 기본값은 true 입니다. 주석을 비활성화하려면 false 로 설정하십시오.GITLEAKS_CONFIG (선택 사항) : GitLeaks 구성 파일의 경로.GITLEAKS_ENABLE_UPLOAD_ARTIFACT (선택 사항) : gitleaks가 비밀을 감지 할 때 sarif 아티팩트를 켜거나 끄는 부울 값. 기본값은 true .GITLEAKS_ENABLE_SUMMARY (선택 사항) : gitleaks 작업 요약을 활성화 또는 비활성화하는 부울 값. 기본값은 true .GITLEAKS_VERSION (선택 사항) : 사용할 특정 GitLeaks 버전 (예 : 8.15.3 , v 접두사 없음) 또는 latest 항상 사용하여 최신 버전을 사용하십시오. 기본값은 하드 코딩 된 버전 번호로 나타납니다. 조직 계정에 속하는 저장소를 스캔하는 경우 무료 라이센스 키를 얻어야합니다.
개인 계정에 속하는 저장소를 스캔하는 경우 라이센스 키가 필요하지 않습니다.
gitleaks.io를 방문하여 무료 라이센스 키에 가입 할 수 있습니다. "가입"을 클릭하면 이름, 이메일 및 회사를 제공 해야하는 Google 양식으로 이동합니다. 라이센스 키가있는 이메일이 제출 직후에 나타납니다.
당신은 할 수 있습니다! 이 Github 동작은 Gitleaks CLI 도구와 유사한 우선 순위를 따릅니다. GITLEAKS_CONFIG 사용하여 구성 경로를 명시 적으로 설정 하거나 gitleaks-action 에서 자동으로 감지 및 사용될 리포지토리의 루트에서 gitleaks.toml 만들 수 있습니다.
GitLeaks-Action이 제 3 자에게 전송하는 유일한 데이터는 라이센스 키 검증 서비스 인 KeyGen으로 전송되는 라이센스 키 검증 (즉 GITLEAKS_LICENSE , Repo Name 및 Repo 소유자)과 관련된 데이터입니다. 스캔은 Github Actions Docker 컨테이너 내에서 스캔이 발생하기 때문에 코드가 GitHub을 남기지 않습니다.
당신은 할 수 있지만 잘못된 보안 감각을 제공하기 때문에 권장하지 않습니다. 한 커밋에서 비밀이 유출 된 경우 후속 커밋에서 제거되면 Github 보안 대시 보드의 보안 경고는 비밀이 여전히 커밋 기록에서 볼 수 있지만 해결 된 것으로 표시됩니다. 누출을 진정으로 해결하려면 비밀을 회전시켜야합니다 (또한 GIT 이력을 재 작성하여 누출을 완전히 제거해야합니다).
6/21/2022
2022 년 6 월 21 일, 우리는 Gitleaks Action V2를 master 브랜치로 병합했습니다. 이것은 깨진 업데이트였으며 Github, 소셜 미디어 등을 통해 가능한 많은 사용자에게 연락하기 위해 노력했습니다.이 브레이크 업데이트가 다가오고 있음을 알지 못한다면 불편 함을 진심으로 사과드립니다. 좋은 소식은 일자리 실패를 개선하는 것이 간단하다는 것입니다! 당신은 둘 중 하나를 할 수 있습니다 :
조직에 속한 저장소를 스캔하는 경우 v2 (무료 "시험"라이센스를 사용할 수 있도록 gitleaks_license를 획득해야합니다. Gitleaks-Action을 무료로 사용하는 데 익숙한 사용자에게는 놀라운 일이 될 수 있으므로이 프로젝트를 수료하기로 결정한 방법을 설명하는 블로그 게시물을 작성했습니다.
마지막으로, 새로운 v2 릴리스를 좋아할 것이라고 생각하는 이유에 대한 요약은 위의 사항을 참조하십시오 : v2 혜택
이 gitleaks- 액션을 활성화하고 <img alt="gitleaks badge" src="https://img.shields.io/badge/protected%20by-gitleaks-blue"> Readme에 복사하십시오.
Gitleaks-Action의 v2.0.0 이후 라이센스는 MIT에서 상업용 라이센스로 변경되었습니다. gitleaks-actions의 v2.0.0에 대한 사전 버전은 MIT 라이센스에 따라 남아 있습니다.
기고 가이드 라인을 참조하십시오.
Copyright © 2022 Gitleaks LLC- 모든 권리 보유
