关于ggshield
ggshield是一款针对基础设施及代码的安全检测工具,该工具支持查找并修复 400 多种类型的硬编码敏感数据和 70 多种类型的基础设施即代码配置错误。
ggshield是一个在你的本地环境或 CI 环境中运行的 CLI 应用程序,可帮助你检测 400 多种类型的秘密,以及影响代码库的其他潜在安全漏洞或策略中断。
ggshield通过py-gitguardian使用我们的公共 API来扫描和检测文件和其他文本内容中的潜在漏洞。
使用ggshield进行的扫描仅存储调用时间、请求大小和扫描模式等元数据,因此秘密和策略违规事件不会显示在你的仪表板上,并且你的文件和秘密也不会被存储。
工具要求
Python 3.8+
git
Docker
pip
工具安装
由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/GitGuardian/ggshield.git
然后切换到项目目录中,使用工具安装脚本完成工具安装即可:
cd ggshield python3 ./setup.py
HomeBrew安装
$ brew install gitguardian/tap/ggshield
发布版本安装
我们还可以访问该项目的【发布页面】下载对应操作系统版本的ggshield。
pipx安装
从 PyPI安装ggshield的推荐方法是使用pipx,它将把它安装在隔离的环境中:
$ pipx install ggshield
要升级,请运行:
$ pipx upgrade ggshield
工具使用
敏感信息
我们可以使用ggshield来搜索敏感信息:
在文件中:ggshield secret scan path -r .
在存储库中:ggshield secret scan repo .
在 Docker 镜像中:ggshield secret scan docker ubuntu:22.04
在 Pypi 包中:ggshield secret scan pypi flask
还有更多,请查看ggshield secret scan --help输出了解详情。
基础设施即代码安全 (IaC)
还可以使用以下命令在 IaC 文件中搜索安全问题:
ggshield iac scan all .
但是,如果你只对新的潜在 IaC 安全问题感兴趣,可以运行:
ggshield iac scan diff --ref=HEAD~1 .
输出结果
许可证协议
本项目的开发与发布遵循MIT开源许可协议。
项目地址
ggshield:【GitHub传送门】
参考资料
GitGuardian: Git Security Scanning & Secrets Detection
