ดาวน์โหลด gitleaks action - gitleaks action Source Source Download

gitleaks action

หมวดหมู่อื่นๆ

v2.3.7

ดาวน์โหลด

การกระทำของ Gitleaks


  ┌─○───┐
  │ │╲  │
  │ │ ○ │
  │ ○ ┌─┴───────────────────┐
  └─░─┤  4 github actions   │
      └─────────────────────┘

Gitleaks เป็นเครื่องมือ SAST สำหรับการตรวจจับและป้องกันความลับของฮาร์ดโค้ดเช่นรหัสผ่านปุ่ม API และโทเค็นใน GIT Repos Gitleaks เป็นโซลูชันที่ใช้งานง่ายและใช้งานได้ง่ายสำหรับการตรวจจับความลับอดีตหรือปัจจุบันในรหัสของคุณ เปิดใช้ งาน Gitleaks-Action ในเวิร์กโฟลว์ GitHub ของคุณที่จะได้รับการแจ้งเตือนเมื่อความลับรั่วไหลออกมาทันทีที่เกิดขึ้น ตรวจสอบการสาธิตของเราที่นี่ (.gif) และที่นี่ (.png) หรือดูว่ามีอะไรใหม่ใน v2 ที่นี่ อย่าลืมตรวจสอบบล็อกของเราซึ่งรายละเอียดวิธีการกำหนดค่าและตั้งค่าการกระทำ Gitleaks-action สำหรับองค์กรและองค์กร

ตัวอย่างการใช้งาน

 name : gitleaks
on :
  pull_request :
  push :
  workflow_dispatch :
  schedule :
    - cron : " 0 4 * * * " # run once a day at 4 AM
jobs :
  scan :
    name : gitleaks
    runs-on : ubuntu-latest
    steps :
      - uses : actions/checkout@v4
        with :
          fetch-depth : 0
      - uses : gitleaks/gitleaks-action@v2
        env :
          GITHUB_TOKEN : ${{ secrets.GITHUB_TOKEN }}
          GITLEAKS_LICENSE : ${{ secrets.GITLEAKS_LICENSE}} # Only required for Organizations, not personal accounts.

ตัวแปรสภาพแวดล้อม:

GITHUB_TOKEN : ตัวแปรนี้จะถูกกำหนดโดย GitHub โดยอัตโนมัติเมื่อมีการดำเนินการใด ๆ คุณสามารถอ่านเพิ่มเติมเกี่ยวกับโทเค็นได้ที่นี่ Gitleaks-Action ใช้โทเค็นนี้เพื่อเรียก GitHub API เพื่อแสดงความคิดเห็นเกี่ยวกับ PRS
GITLEAKS_LICENSE (จำเป็นสำหรับองค์กรไม่จำเป็นสำหรับบัญชีผู้ใช้): สามารถรับใบอนุญาตการกระทำของ Gitleaks-Action ได้ที่ gitleaks.io ควรเพิ่มเป็นความลับที่เข้ารหัสไปยัง repo หรือองค์กร
GITLEAKS_NOTIFY_USER_LIST (ไม่บังคับ): รายการบัญชี GitHub ที่ควรได้รับการแจ้งเตือนเมื่อ Gitleaks-Action ตรวจพบการรั่วไหล อีเมลจะถูกส่งโดย GitHub ไปยังผู้ใช้หากการตั้งค่าการแจ้งเตือน GitHub อนุญาต รูปแบบควรคั่นด้วยเครื่องหมายจุลภาคพร้อมชื่อผู้ใช้แต่ละชื่อนำหน้าด้วย @ Ex: @octocat,@zricethezav,@gitleaks ช่องว่างก็โอเคเช่นกัน
GITLEAKS_ENABLE_COMMENTS (ไม่บังคับ): ค่าบูลีนที่เปิดหรือปิดการแสดงความคิดเห็น PR ค่าเริ่มต้นเป็น true ตั้งค่าเป็น false เพื่อปิดการใช้งานความคิดเห็น
GITLEAKS_CONFIG (ไม่บังคับ): พา ธ ไปยังไฟล์กำหนดค่า Gitleaks
GITLEAKS_ENABLE_UPLOAD_ARTIFACT (ตัวเลือก): ค่าบูลีนที่เปิดหรือปิดการอัปโหลดสิ่งประดิษฐ์ sarif เมื่อ Gitleaks ตรวจพบความลับ ค่าเริ่มต้นเป็น true
GITLEAKS_ENABLE_SUMMARY (ไม่บังคับ): ค่าบูลีนเพื่อเปิดใช้งานหรือปิดการใช้งานสรุปงาน Gitleaks ค่าเริ่มต้นเป็น true
GITLEAKS_VERSION (ไม่บังคับ): รุ่น Gitleaks เฉพาะที่จะใช้ (เช่น 8.15.3 , ไม่มีคำนำหน้า v ) หรือใช้ latest เพื่อใช้เวอร์ชันใหม่ล่าสุดที่มีอยู่เสมอ ค่าเริ่มต้นเป็นหมายเลขเวอร์ชันที่ใช้รหัสยาก

คำถาม

ฉันต้องการรหัสใบอนุญาต ฟรี หรือไม่?

หากคุณกำลังสแกน repos ที่เป็นของบัญชีองค์กรคุณจะต้องได้รับรหัสใบอนุญาตฟรี

หากคุณกำลังสแกน repos ที่เป็นของบัญชีส่วนตัวจะไม่จำเป็นต้องใช้รหัสใบอนุญาต

ฉันจะรับรหัสใบอนุญาต ฟรี ได้อย่างไร?

คุณสามารถเยี่ยมชม gitleaks.io เพื่อลงทะเบียนสำหรับคีย์ใบอนุญาตฟรี การคลิก "ลงทะเบียน" จะนำคุณไปยังแบบฟอร์ม Google ซึ่งคุณจะต้องจัดหาชื่ออีเมลและ บริษัท อีเมลพร้อมคีย์ใบอนุญาตจะปรากฏขึ้นหลังจากการส่ง

ฉันสามารถใช้การกำหนดค่า Gitleaks ที่กำหนดเองได้หรือไม่?

คุณทำได้! การกระทำของ GitHub นี้เป็นไปตามลำดับความสำคัญที่คล้ายกันกับเครื่องมือ Gitleaks CLI คุณสามารถใช้ GITLEAKS_CONFIG เพื่อตั้งค่าเส้นทางการกำหนดค่าอย่างชัดเจน หรือ สร้าง gitleaks.toml ที่รูทของ repo ซึ่งจะตรวจพบและใช้งานโดยอัตโนมัติโดย Gitleaks-Action

การกระทำของ GitHub นี้ส่งข้อมูลใด ๆ ไปยังบุคคลที่สามหรือไม่?

ข้อมูลเดียวที่ Gitleaks-Action ส่งไปยังบุคคลที่สามใด ๆ คือข้อมูลที่เกี่ยวข้องกับการตรวจสอบคีย์ใบอนุญาต (คือ GITLEAKS_LICENSE , ชื่อ repo และเจ้าของ repo) ซึ่งถูกส่งไปยังบริการตรวจสอบคีย์ใบอนุญาต Keygen รหัสของคุณไม่เคยออกจาก GitHub เพราะการสแกนเกิดขึ้นภายในคอนเทนเนอร์ Docker Actions GitHub

ฉันสามารถใช้ Gitleaks-Action เป็นเครื่องมือของบุคคลที่สามสำหรับการสแกนรหัส GitHub ได้หรือไม่?

คุณ สามารถทำได้ แต่ไม่แนะนำเพราะมันให้ความรู้สึกที่ผิดพลาดในการรักษาความปลอดภัย หากความลับรั่วไหลออกมาในการกระทำเดียวจากนั้นจะถูกลบออกในการกระทำที่ตามมาการแจ้งเตือนความปลอดภัยในแผงควบคุมความปลอดภัยของ GitHub จะแสดงให้เห็นว่าได้รับการแก้ไขแม้ว่าความลับจะยังคงปรากฏอยู่ในประวัติศาสตร์การกระทำ เพื่อจัดการกับการรั่วไหลอย่างแท้จริงคุณควรหมุนความลับ (และลองพิจารณาเขียนประวัติ GIT ใหม่เพื่อลบการรั่วไหลออกมาโดยสิ้นเชิง)

เหตุใดงาน Gitleaks-Action ของฉันจึงล้มเหลวอย่างฉับพลัน?

6/21/2022

เมื่อวันที่ 21 มิถุนายน 2565 เราได้รวม Gitleaks Action v2 เข้ากับสาขา master นี่เป็นการอัปเดตที่แตกหักและเราพยายามติดต่อผู้ใช้ของเราให้มากที่สุดเท่าที่จะทำได้ผ่านทาง GitHub, โซเชียลมีเดีย ฯลฯ หากคุณไม่รู้ว่าการอัปเดตที่แตกหักนี้กำลังจะมาถึงเราต้องขออภัยในความไม่สะดวก ข่าวดีก็คือการแก้ไขความล้มเหลวของงานนั้นตรงไปตรงมา! คุณสามารถ:

อัพเกรดเป็น V2 หรือ
ปักเป็นเวอร์ชันเก่า

โปรดทราบว่าหากคุณกำลังสแกน repos ที่เป็นขององค์กรคุณจะต้องได้รับ gitleaks_license เพื่อใช้ใบอนุญาต V2 (ฟรี "ทดลองใช้") นั่นอาจเป็นเรื่องน่าประหลาดใจสำหรับผู้ใช้ของฉันที่คุ้นเคยกับการใช้ Gitleaks-Action โดยไม่เสียค่าใช้จ่ายดังนั้นฉันจึงเขียนโพสต์บล็อกอธิบายว่าทำไมฉันจึงตัดสินใจสร้างรายได้จากโครงการนี้: https://blog.gitleaks.io/gitleaks-llc- Announce-d7d06a52e801

ในที่สุดโปรดดูด้านบนสำหรับสรุปว่าทำไมฉันคิดว่าคุณจะรักการเปิดตัว V2 ใหม่: V2 ผลประโยชน์

ฉันจะรับป้าย Gitleaks บน readme ของฉันได้อย่างไร?

เปิดใช้ งาน gitleaks-action นี้และคัดลอก <img alt="gitleaks badge" src="https://img.shields.io/badge/protected%20by-gitleaks-blue"> ถึง readme ของคุณ

การเปลี่ยนแปลงใบอนุญาต

ตั้งแต่ v2.0.0 ของ Gitleaks-Action ใบอนุญาตได้เปลี่ยนจาก MIT เป็นใบอนุญาตเชิงพาณิชย์ เวอร์ชันก่อนหน้าไปยัง v2.0.0 ของ Gitleaks-Actions จะยังคงอยู่ภายใต้ใบอนุญาต MIT