Разработчик Захари Райс представил утилиту Gitleaks. Она предназначена для анализа программного кода в git-репозиториях и выявления утечки конфиденциальных данных.
Как работает утилита
Gitleaks проверяет, есть ли в коде проекта RSA- и SSH-ключи, способна находить в программных продуктах уникальные признаки доступа на Facebook или веб-сервисы Amazon.
Gitleaks сканирует не только основную ветку проекта origin/HEAD, но и все подкаталоги. Она обеспечивает контроль параллелизма и структурное тестирование.
Для поиска информации можно использовать регулярные выражения. Утилита поддерживает и «белые списки» регулярных выражений, веток и коммитов, которые не будут проверяться.
Кому она доступна
Код утилиты выложен на GitHub, воспользоваться им могут все желающие. Утилита работает не только с репозиториями на GitHub, но и с любыми другими git-репозиториями. Так что если вы, к примеру, перешли на GitLab после того, как Microsoft купила GitHub, проблем не возникнет.
Как пользоваться утилитой
Запускается утилита из консоли. Чтобы проверить код проекта, нужно ввести команду с указанием репозитория:
$ gitleaks --repo=https://github.com/myproject
Поддерживается проверка приватных репозиториев, репозиториев с совместным доступом. Утилита гибко настраивается, а результаты можно сохранить в файл с расширением .json для последующего анализа.