关于ggshield

ggshield是一款针对基础设施及代码的安全检测工具，该工具支持查找并修复 400 多种类型的硬编码敏感数据和 70 多种类型的基础设施即代码配置错误。

ggshield是一个在你的本地环境或 CI 环境中运行的 CLI 应用程序，可帮助你检测 400 多种类型的秘密，以及影响代码库的其他潜在安全漏洞或策略中断。

ggshield通过py-gitguardian使用我们的公共 API来扫描和检测文件和其他文本内容中的潜在漏洞。

使用ggshield进行的扫描仅存储调用时间、请求大小和扫描模式等元数据，因此秘密和策略违规事件不会显示在你的仪表板上，并且你的文件和秘密也不会被存储。

工具要求

Python 3.8+

git

Docker

pip

工具安装

由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来，广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/GitGuardian/ggshield.git

然后切换到项目目录中，使用工具安装脚本完成工具安装即可：

cd ggshield

python3 ./setup.py

HomeBrew安装

$ brew install gitguardian/tap/ggshield

发布版本安装

我们还可以访问该项目的【发布页面】下载对应操作系统版本的ggshield。

pipx安装

从 PyPI安装ggshield的推荐方法是使用pipx，它将把它安装在隔离的环境中：

$ pipx install ggshield

要升级，请运行：

$ pipx upgrade ggshield

工具使用

敏感信息

我们可以使用ggshield来搜索敏感信息：

在文件中：ggshield secret scan path -r .

在存储库中：ggshield secret scan repo .

在 Docker 镜像中：ggshield secret scan docker ubuntu:22.04

在 Pypi 包中：ggshield secret scan pypi flask

还有更多，请查看ggshield secret scan --help输出了解详情。

基础设施即代码安全 (IaC)

还可以使用以下命令在 IaC 文件中搜索安全问题：

ggshield iac scan all .

但是，如果你只对新的潜在 IaC 安全问题感兴趣，可以运行：

ggshield iac scan diff --ref=HEAD~1 .

输出结果

许可证协议

本项目的开发与发布遵循MIT开源许可协议。

项目地址

ggshield：【GitHub传送门】

参考资料

https://gitguardian.com/