gitleaks：Git 凭据与敏感信息扫描工具

摘要

1) 一句话总结

Gitleaks 是一款基于 Go 语言开发的开源敏感信息检测工具，专门用于在 Git 仓库历史、本地目录或标准输入流中扫描并发现硬编码的密码、API 密钥和 Token 等机密数据。

2) 核心要点

• 基础信息：采用 MIT 开源协议，基于 Go 语言开发，当前最新版本为 v8.30.0。
• 核心扫描模式：提供 git（解析历史提交补丁）、dir（常规文件目录）和 stdin（管道数据流）三种扫描模式。
• 典型应用场景：可用于本地代码审计、通过 GitHub Action 集成到 CI/CD 自动化工作流，或作为 Git pre-commit 钩子在代码提交前进行拦截。
• 自定义规则引擎：支持使用 TOML 格式编写规则，结合正则表达式、文件路径匹配及信息熵（Shannon entropy）阈值进行精准检测；支持复合规则及行列邻近度约束。
• 性能优化：支持在规则中配置 keywords 进行前置关键字过滤，在执行高消耗正则匹配前先进行快速字符串比对，大幅提升性能。
• 误报控制：提供基线（Baseline）机制以忽略历史遗留问题，并支持基于 Commit Hash、文件路径、正则或停用词的全局/规则级别白名单（Allowlists）。
• 配置继承：支持通过 extend 机制继承内置默认规则，用户可在此基础上覆盖、追加或禁用特定规则。
• 多格式输出：扫描结果支持导出为 JSON、CSV、JUnit、SARIF 或自定义模板格式。
• 配置加载优先级：依次读取命令行参数、环境变量、目标路径下的 .gitleaks.toml 文件，最后使用内置默认配置。

3) 风险与不足

• 正则语法限制：由于底层使用 Golang 的正则表达式引擎，不支持前瞻断言（lookaheads）语法。
• 命令废弃：自 v8.19.0 版本起，旧版的 detect 和 protect 命令已被废弃，需直接使用 git、dir 或 stdin 命令。

功能与定位

Gitleaks 是一款开源的敏感信息检测工具，专门用于在 Git 仓库、常规文件目录或标准输入流（stdin）中发现硬编码的密码、API 密钥、Token 等机密数据。

典型使用场景

• 本地代码审计：在本地环境中扫描 Git 仓库的历史提交记录或特定目录，排查潜在的密钥泄露。
• CI/CD 自动化检测：通过官方提供的 GitHub Action（gitleaks-action）集成到工作流中，在代码推送（Push）或合并请求（PR）时自动执行扫描。
• 提交前拦截（Pre-Commit）：作为 Git 的 pre-commit 钩子运行，在开发者提交代码前进行检测，防止敏感信息被提交到版本库。

核心功能

• 多模式扫描：
  • git 模式：扫描 Git 仓库历史（底层基于 git log -p 解析补丁），支持通过参数指定特定的 Commit 范围。
  • dir 模式：扫描常规的本地目录或文件。
  • stdin 模式：接收并扫描通过管道传入的数据流。
• 基线（Baseline）机制：针对大型或历史悠久的仓库，可将某次扫描生成的报告作为基线。后续扫描时会自动忽略基线中已存在的旧问题，仅报告新增的敏感信息。
• 自定义规则引擎：支持通过 TOML 格式编写检测规则。规则可基于正则表达式、文件路径匹配，并支持设置信息熵（Shannon entropy）阈值来判定是否为有效密钥。
• 复合规则（Composite Rules）：支持由一个主规则和一个或多个辅助（required）规则组合进行复杂检测，并可设定行或列的邻近度约束（withinLines / withinColumns）。
• 多格式报告输出：扫描结果可导出为 JSON、CSV、JUnit、SARIF 或自定义模板格式。

特色与差异点

• 前置关键字过滤：规则支持配置 keywords，在执行高消耗的正则匹配前，先进行快速的字符串比对，大幅提升扫描性能。
• 灵活的白名单机制（Allowlists）：支持全局或规则级别的白名单。可通过指定 Commit Hash、文件路径、正则表达式或停用词（stopwords）来过滤已知安全的内容，有效降低误报率。
• 配置继承与扩展：用户无需从头编写配置，可通过 extend 机制继承内置的默认规则，并在此基础上覆盖、追加自定义规则或禁用特定规则。

使用方式概览

• 安装与运行：支持通过 Homebrew、Docker、Go 源码编译或直接下载预编译的二进制文件运行。
• 配置加载优先级：Gitleaks 按以下顺序寻找并加载配置文件：
  1. 命令行 -c 或 --config 指定的路径
  2. 环境变量 GITLEAKS_CONFIG
  3. 环境变量 GITLEAKS_CONFIG_TOML（直接读取内容）
  4. 目标扫描路径下的 .gitleaks.toml 文件
  5. 内置的默认配置

限制与注意事项

• 正则引擎限制：由于 Gitleaks 使用 Golang 的正则表达式引擎，因此不支持前瞻断言（lookaheads）语法。
• 命令废弃：自 v8.19.0 版本起，旧版的 detect 和 protect 命令已被废弃（在帮助菜单中隐藏），建议直接使用 git、dir 或 stdin 模式命令。

链接

• GitHub 仓库: https://github.com/gitleaks/gitleaks
• 官方网站: https://gitleaks.io
• GitHub Action 仓库: https://github.com/gitleaks/gitleaks-action

关联主题

• security
• github
• cli
• risk