gitleaks action

  ┌─○───┐
  │ │╲  │
  │ │ ○ │
  │ ○ ┌─┴───────────────────┐
  └─░─┤  4 github actions   │
      └─────────────────────┘

GitLeaks - это инструмент SAST для обнаружения и предотвращения твердых кодированных секретов, таких как пароли, клавиши API и токены в GIT Repos. GitLeaks-это простое в использовании, все в одном решении для обнаружения секретов, прошлого или настоящего, в вашем коде. Включите GitLeaks-Action в ваших рабочих процессах GitHub, которые будут предупреждены, когда секреты протекают, как только они произойдут. Проверьте наши демонстрации здесь (.gif) и здесь (.png), или посмотрите, что нового в V2 здесь. Не забудьте проверить наш блог, в котором подробно описывается, как настроить и настроить GitLeaks-Action для организаций и предприятий.

 name : gitleaks
on :
  pull_request :
  push :
  workflow_dispatch :
  schedule :
    - cron : " 0 4 * * * " # run once a day at 4 AM
jobs :
  scan :
    name : gitleaks
    runs-on : ubuntu-latest
    steps :
      - uses : actions/checkout@v4
        with :
          fetch-depth : 0
      - uses : gitleaks/gitleaks-action@v2
        env :
          GITHUB_TOKEN : ${{ secrets.GITHUB_TOKEN }}
          GITLEAKS_LICENSE : ${{ secrets.GITLEAKS_LICENSE}} # Only required for Organizations, not personal accounts.

• GITHUB_TOKEN : эта переменная автоматически назначена Github, когда какое -либо действие запускается. Вы можете прочитать больше о токене здесь. GitLeaks-Action использует этот токен, чтобы вызвать API GitHub, чтобы комментировать PRS.
• GITLEAKS_LICENSE (требуется для организаций, не требуется для учетных записей пользователей): лицензия GitLeaks-Action может быть получена на GitLeaks.io. Это должно быть добавлено в качестве зашифрованного секрета репо или организации.
• GITLEAKS_NOTIFY_USER_LIST (необязательно): список учетных записей GitHub, которые следует предупреждать, когда GitLeaks-Action обнаруживает утечку. Электронное письмо будет отправлено GitHub пользователю, если разрешат настройки уведомления GitHub. Формат должен быть разделен с запятой с каждым именем пользователя с префиксом @ . Пример: @octocat,@zricethezav,@gitleaks . Пространства тоже в порядке.
• GITLEAKS_ENABLE_COMMENTS (необязательно): логическое значение, которое включает или выключен PR. Значение по умолчанию true . Установить на false , чтобы отключить комментарии.
• GITLEAKS_CONFIG (необязательно): Путь к файлу конфигурации GitLeaks.
• GITLEAKS_ENABLE_UPLOAD_ARTIFACT (необязательно): логическое значение, которое включает или выключает артефакт сари, когда GitLeaks обнаруживает секреты. По умолчанию к true .
• GITLEAKS_ENABLE_SUMMARY (необязательно): логическое значение, чтобы включить или отключить резюме задания GitLeaks. По умолчанию к true .
• GITLEAKS_VERSION (необязательно): конкретная версия GitLeaks для использования (например, 8.15.3 , без префикса v ) или используйте latest , чтобы всегда использовать самую новую доступную версию. По умолчанию на твердо кодируемый номер версии.

Если вы сканируете репозиции, которые принадлежат к учетной записи организации, вам нужно будет получить бесплатный лицензионный ключ

Если вы сканируете репо, которые принадлежат личному учетной записи, то лицензионный ключ не требуется.

Вы можете посетить gitleaks.io, чтобы подписаться на бесплатный лицензионный ключ. Нажатие «Зарегистрироваться» перенесет вас в форму Google, где вам нужно будет предоставить имя, электронную почту и компанию. Электронное письмо с лицензионным ключом будет отображаться вскоре после подачи.

Ты можешь! Это действие GitHub следует аналогичному порядку приоритета, как и инструмент GitLeaks CLI. Вы можете использовать GITLEAKS_CONFIG для явного установления пути конфигурации или создания gitleaks.toml в корне репо, который будет автоматически обнаружен и используется GitLeaks-Action .

Единственными данными, которые GitLeaks-Action отправляет в любую третью сторону, являются данные, связанные с проверкой лицензионного ключа (а именно GITLEAKS_LICENSE , имя репо и владелец репо), которые отправляются в службу проверки лицензионного ключа, Keygen. Ваш код никогда не покидает GitHub, потому что сканирование происходит в контейнере Docker Github Docker.

Вы можете, но это не рекомендуется, потому что это дает ложное чувство безопасности. Если секрет просочивается в одном коммите, то удалили в последующем коммите, предупреждение о безопасности на панели безопасности GitHub Security будет показывать как разрешенное, даже если секрет все еще видна в истории коммита. Чтобы по-настоящему рассмотреть утечку, вы должны повернуть секрет (а также рассмотреть вопрос о переписке истории GIT, чтобы полностью удалить утечку).

21.06.2022

21 июня 2022 года мы объединили GitLeaks Action V2 в master филиал. Это было разбитое обновление, и мы приложили усилия, чтобы связаться с как можно большим количеством наших пользователей через GitHub, социальные сети и т. Д. Хорошая новость в том, что исправление неудачи работы просто! Вы можете либо:

1. Обновить до V2, или
2. Приколоть к более старой версии

Обратите внимание, что если вы сканируете репозитовы, которые принадлежат организации, вам придется приобрести gitleaks_license для использования V2 (бесплатная «пробная» лицензия). Это может стать сюрпризом для моих пользователей, которые привыкли бесплатно использовать GitLeaks-Action, поэтому я написал пост в блоге, объясняющий, как/почему я решил монетизировать этот проект: https://blog.gitleaks.io/gitleaks-llc-nancement-d7d06a52e801

Наконец, см. Выше для краткого изложения того, почему я думаю, что вам понравится новый релиз V2: V2 Преимущества

Включите это GitLeaks-Action и копирование <img alt="gitleaks badge" src="https://img.shields.io/badge/protected%20by-gitleaks-blue"> к вашему readme.

Поскольку v2.0.0 GitLeaks-Action, лицензия изменилась с MIT на коммерческую лицензию. Предыдущие версии V2.0.0 GitLeaks-Actions останутся по лицензии MIT.

Пожалуйста, посмотрите наши рекомендации.

Copyright © 2022 Gitleaks LLC - Все права защищены