← Katalog
E I A C

Gitleaks

Security-as-Code

Wykrywanie sekretów w repo i historii Git — w CI i pre-commit.

★ 18 000 MIT #security#secrets#git#ci

Gitleaks skanuje repozytoria i całą historię Git w poszukiwaniu przypadkowo zacommitowanych sekretów — kluczy API, tokenów, haseł. Działa lokalnie (hook pre-commit) i w CI jako bramka, a reguły wykrywania konfigurujesz deklaratywnie (TOML), z możliwością allowlist dla fałszywych alarmów. To prosta, wysokowartościowa warstwa „security-as-code”.

Kiedy używać

  • Chcesz wyłapać sekrety zanim trafią do repo (pre-commit) lub w PR (CI).
  • Audytujesz istniejącą historię Git pod kątem wycieków.
  • Potrzebujesz konfigurowalnych reguł i allowlist.

Przykład użycia

gitleaks detect --source . --redact       # skan repo + historii
gitleaks protect --staged                  # przed commitem
# .gitea/workflows/security.yml (fragment)
- run: gitleaks detect --no-banner --exit-code 1

Niezerowy kod wyjścia zatrzymuje pipeline, gdy wykryto sekret.

Warto wiedzieć

  • Najlepiej działa jako hook pre-commit + bramka w Gitea Actions jednocześnie.
  • Reguły i allowlist trzymaj w .gitleaks.toml w repo.