gitleaks action
v2.3.7
┌─○───┐
│ │╲ │
│ │ ○ │
│ ○ ┌─┴───────────────────┐
└─░─┤ 4 github actions │
└─────────────────────┘
O GitLeaks é uma ferramenta SAST para detectar e prevenir segredos codificados, como senhas, chaves de API e tokens nos repositórios Git. O GitLeaks é uma solução fáceis de usar e all-in-one para detectar segredos, passado ou presente, em seu código. Ative a ação GitLeaks em seus fluxos de trabalho do GitHub a ser alertada quando os segredos vazam assim que eles acontecem. Confira nossas demos aqui (.gif) e aqui (.png), ou veja o que há de novo em V2 aqui. Não se esqueça de conferir nosso blog, qual detalha como configurar e configurar a ação GitLeaks para organizações e empresas.
name : gitleaks
on :
pull_request :
push :
workflow_dispatch :
schedule :
- cron : " 0 4 * * * " # run once a day at 4 AM
jobs :
scan :
name : gitleaks
runs-on : ubuntu-latest
steps :
- uses : actions/checkout@v4
with :
fetch-depth : 0
- uses : gitleaks/gitleaks-action@v2
env :
GITHUB_TOKEN : ${{ secrets.GITHUB_TOKEN }}
GITLEAKS_LICENSE : ${{ secrets.GITLEAKS_LICENSE}} # Only required for Organizations, not personal accounts.GITHUB_TOKEN : Essa variável é atribuída automaticamente pelo Github quando qualquer ação é expulsa. Você pode ler mais sobre o token aqui. O GitLeaks-Ação usa esse token para chamar uma API do GitHub para comentar o PRS.GITLEAKS_LICENSE (necessário para organizações, não é necessário para contas de usuário): Uma licença de ação gitLeaks pode ser obtida em gitleaks.io. Deve ser adicionado como um segredo criptografado ao repositório ou à organização.GITLEAKS_NOTIFY_USER_LIST (opcional): Uma lista de contas do github que deve ser alertada quando a ação de gitleaks detecta um vazamento. Um email será enviado pelo Github ao usuário se as configurações de notificação do GitHub o permitirem. O formato deve ser separado por vírgula com cada nome de usuário prefixado com @ . Ex: @octocat,@zricethezav,@gitleaks . Os espaços também estão bem.GITLEAKS_ENABLE_COMMENTS (opcional): valor booleano que liga ou desligando ou desativando o comentário de relações públicas. O valor padrão é true . Defina como false para desativar comentários.GITLEAKS_CONFIG (opcional): caminho para um arquivo de configuração Gitleaks.GITLEAKS_ENABLE_UPLOAD_ARTIFACT (opcional): valor booleano que liga ou desligando ou desligando um artefato SARIF quando os gitleaks detectam segredos. Padrões para true .GITLEAKS_ENABLE_SUMMARY (opcional): valor booleano para ativar ou desativar o resumo do trabalho Gitleaks. Padrões para true .GITLEAKS_VERSION (opcional): uma versão GitLeaks específica a ser usada (por exemplo, 8.15.3 , sem prefixo v ) ou use latest para sempre usar a versão mais recente disponível. Padrão para um número de versão codificado. Se você estiver digitalizando repositórios que pertencem a uma conta da organização, precisará obter uma chave de licença gratuita
Se você estiver digitalizando repositórios que pertencem a uma conta pessoal, nenhuma chave de licença será necessária.
Você pode visitar o gitleaks.io para se inscrever em uma chave de licença gratuita. Clicar em "Inscreva -se" o levará a um formulário do Google, onde você precisará fornecer nome, email e empresa. Um email com uma chave de licença será exibido logo após o envio.
Você pode! Essa ação do GitHub segue uma ordem semelhante de precedência à ferramenta CLI Gitleaks. Você pode usar GITLEAKS_CONFIG para definir explicitamente um caminho de configuração ou criar um gitleaks.toml na raiz do repo, que será detectado e usado automaticamente pelo GitLeaks-Action .
Os únicos dados que o GitLeaks-ACTION envia para terceiros são dados relacionados à validação da chave da licença (a saber, GITLEAKS_LICENSE , nome do repositório e proprietário do repositório), que é enviado ao Serviço de Validação da Chave de Licença, Keygen. Seu código nunca sai do GitHub porque a digitalização ocorre dentro do recipiente do Docker Ações do Github.
Você pode, mas não é recomendado porque fornece uma falsa sensação de segurança. Se um segredo for vazado em uma confirmação, removido em um commit subsequente, o alerta de segurança no painel de segurança do GitHub será exibido como resolvido, mesmo que o segredo ainda seja visível no histórico de commit. Para realmente abordar o vazamento, você deve girar o segredo (e também considerar reescrever o histórico do Git para remover o vazamento).
21/06/2022
Em 21 de junho de 2022, mesclamos o Gitleaks Action V2 no ramo master . Esta foi uma atualização de quebra, e fizemos um esforço para entrar em contato com o maior número possível de usuários via Github, mídia social etc. Se você não sabia que essa atualização de quebra estava chegando, pedimos sinceras desculpas pelo inconveniente. A boa notícia é que, remediar o fracasso do trabalho é direto! Você pode:
Observe que, se você estiver digitalizando repositórios que pertencem a uma organização, precisará adquirir um gitleaks_license para usar V2 (licença "Trial" gratuita disponível). Isso pode ser uma surpresa para meus usuários que estão acostumados a usar o GitLeaks-Action gratuitamente, por isso escrevi uma postagem no blog explicando como/por que decidi monetizar este projeto: https://blog.gitleaks.io/gitleaks-lc-announge-d7d06a52e801
Finalmente, veja acima para um resumo de por que eu acho que você vai adorar o novo lançamento do V2: benefícios V2
Ative este gitLeaks-ação e copie <img alt="gitleaks badge" src="https://img.shields.io/badge/protected%20by-gitleaks-blue"> no seu readme.
Desde a v2.0.0 da GitLeaks-Action, a licença mudou do MIT para uma licença comercial. As versões anteriores da v2.0.0 das ações GitLeaks permanecerão sob a licença do MIT.
Por favor, consulte nossas diretrizes contribuintes.
Copyright © 2022 Gitleaks LLC - Todos os direitos reservados
