ggshield是一款针对基础设施及代码的安全检测工具,该工具支持查找并修复 400 多种类型的硬编码敏感数据和 70 多种类型的基础设施即代码配置错误。
ggshield是一个在你的本地环境或 CI 环境中运行的 CLI 应用程序,可帮助你检测 400 多种类型的秘密,以及影响代码库的其他潜在安全漏洞或策略中断。
ggshield通过py-gitguardian使用我们的公共 API来扫描和检测文件和其他文本内容中的潜在漏洞。
使用ggshield进行的扫描仅存储调用时间、请求大小和扫描模式等元数据,因此秘密和策略违规事件不会显示在你的仪表板上,并且你的文件和秘密也不会被存储。
Python 3.8+
git
Docker
pip
由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/GitGuardian/ggshield.git然后切换到项目目录中,使用工具安装脚本完成工具安装即可:
cd ggshieldpython3 ./setup.py
HomeBrew安装
brew install gitguardian/tap/ggshield发布版本安装
我们还可以访问该项目的发布页面下载对应操作系统版本的ggshield:
https://github.com/GitGuardian/ggshield/releases
pipx安装
从 PyPI安装ggshield的推荐方法是使用pipx,它将把它安装在隔离的环境中:
pipx install ggshield要升级,请运行:
pipx upgrade ggshield敏感信息
我们可以使用ggshield来搜索敏感信息:
在文件中:ggshield secret scan path -r .
在存储库中:ggshield secret scan repo .
在 Docker 镜像中:ggshield secret scan docker ubuntu:22.04
在 Pypi 包中:ggshield secret scan pypi flask
还有更多,请查看ggshield secret scan --help输出了解详情。
基础设施即代码安全 (IaC)
还可以使用以下命令在 IaC 文件中搜索安全问题:
ggshield iac scan all .但是,如果你只对新的潜在 IaC 安全问题感兴趣,可以运行:
ggshield iac scan diff --ref=HEAD~1 .输出结果
本项目的开发与发布遵循MIT开源许可协议。
ggshield:
https://github.com/GitGuardian/ggshield
原文始发于微信公众号(FreeBuf):ggshield:查找并修复基础设施即代码错误配置和硬编码密钥
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论