本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 git-secrets 扫描 Git 存储库中的敏感信息及安全问题
由 Saurabh Singh 创作 () AWS
摘要
此模式描述了如何使用AWS实验室的开源 git-sec
git-secrets
扫描提交、提交消息和合并,以防止密钥等敏感信息被添加至 Git 存储库。例如,如果提交、提交消息或合并历史记录中的任何提交与您配置的、禁用的正则表达式模式之一相匹配,则该提交将被拒绝。
先决条件和限制
先决条件
一个活跃的AWS账户
需安全扫描的 Git 存储库
Git 客户端(版本 2.37.1 及更高版本)已安装
架构
目标架构
Git
git-secrets
工具
git-secrets
是一种防止您将敏感信息提交至 Git 存储库的工具。 Git
是开源分布式版本控制系统。
最佳实践
务必通过包含所有修订版来扫描 Git 仓库:
git secrets --scan-history
操作说明
任务 | 描述 | 所需技能 |
---|---|---|
使用连接EC2实例SSH。 | 使用SSH和密钥对文件连接到亚马逊弹性计算云 (AmazonEC2) 实例。 如果您要在本地计算机上扫描存储库,则可跳过此步骤。 | 将军 AWS |
任务 | 描述 | 所需技能 |
---|---|---|
安装 Git。 | 通过以下命令安装 Git:
如果使用的是本地计算机,则可安装适用于特定操作系统版本的 Git 客户端。有关更多信息,请参阅 Git 网站 | 将军 AWS |
任务 | 描述 | 所需技能 |
---|---|---|
克隆 Git 源存储库。 | 若要克隆待扫描 Git 存储库,请从主目录中选择 Git 克隆命令。 | 将军 AWS |
克隆 git-secrets。 | 克隆
将 | 将军 AWS |
安装 git-secrets。 | 对于 Unix 及其变体 (Linux/macOS): 您可以使用
对于 Windows: 运行
对于 Homebrew(macOS 用户): 运行:
有关更多信息,请参阅相关资源部分。 | 将军 AWS |
任务 | 描述 | 所需技能 |
---|---|---|
前往源存储库。 | 切换至要扫描的 Git 存储库目录:
| 将军 AWS |
注册AWS规则集(Git 挂钩)。 | 若要配置
| 将军 AWS |
扫描 存储库。 | 运行以下命令,以开始扫描存储库:
| 将军 AWS |
查看输出文件。 | 如果在您的 Git 存储库中发现了漏洞,该工具将生成输出文件。例如:
| 将军 AWS |
相关资源
带有AWS服务的 Git 网络挂钩
(AWS快速入门) 将 Git 存储库迁移到 AWS
(AWS动手教程)