Gitleaks
Security-as-Code
Wykrywanie sekretów w repo i historii Git — w CI i pre-commit.
Gitleaks skanuje repozytoria i całą historię Git w poszukiwaniu przypadkowo zacommitowanych sekretów — kluczy API, tokenów, haseł. Działa lokalnie (hook pre-commit) i w CI jako bramka, a reguły wykrywania konfigurujesz deklaratywnie (TOML), z możliwością allowlist dla fałszywych alarmów. To prosta, wysokowartościowa warstwa „security-as-code”.
Kiedy używać
- Chcesz wyłapać sekrety zanim trafią do repo (pre-commit) lub w PR (CI).
- Audytujesz istniejącą historię Git pod kątem wycieków.
- Potrzebujesz konfigurowalnych reguł i allowlist.
Przykład użycia
gitleaks detect --source . --redact # skan repo + historii
gitleaks protect --staged # przed commitem
# .gitea/workflows/security.yml (fragment)
- run: gitleaks detect --no-banner --exit-code 1
Niezerowy kod wyjścia zatrzymuje pipeline, gdy wykryto sekret.
Warto wiedzieć
- Najlepiej działa jako hook pre-commit + bramka w Gitea Actions jednocześnie.
- Reguły i allowlist trzymaj w
.gitleaks.tomlw repo.