checkmarx/2ms Docker 镜像 - 轩辕镜像
checkmarx/2mscheckmarx
Too many secrets (2MS) 帮助用户保护存储在文件、CMS系统、聊天工具和Git中的敏感信息。
1 收藏0 次下载
2ms (Too many secrets)
 是由Checkmarx开发的开源CLI工具,用于识别系统中以未加密文本形式存储的敏感数据,如密钥、认证令牌和密码。该工具支持扫描内部通信平台(Slack、***)、内容管理系统(Confluence、Paligo)和源代码存储位置(Git仓库、本地目录)。
此应用程序采用Go语言编写,基于gitleaks框架构建。
该工具通过一系列规则检查内容,旨在识别各种敏感项,如AWS访问令牌、Bitbucket客户端ID、GitHub PAT等。完整规则列表参见docs/list-of-rules.md。
此外,该工具还整合了基于通用漏洞评分系统(CVSS)的评分机制,帮助优先排序修复工作。
安装
以下部分介绍如何通过以下方法安装2ms:
- Homebrew (macOS/Linux)
- 下载并安装预编译二进制文件
- 从源代码编译
- 从Docker容器运行
- CI/CD集成
从Docker容器运行
我们将2ms的容器镜像发布到checkmarx/2ms。
要从Docker容器运行2ms,请使用以下命令:
docker run checkmarx/2ms
挂载本地目录
您还可以使用-v标志挂载本地目录,语法如下:-v <本地目录路径>:<容器目录路径>
示例:
bashdocker run -v /home/user/workspace/git-repo:/repo checkmarx/2ms git /repo
- 对于
git命令,需要将Git仓库挂载到容器内的/repo目录
CI/CD集成
GitHub Actions
以下是创建GitHub Action的模板,该Action从Docker镜像运行2ms以扫描GitHub仓库。
注意: 确保在actions/checkout步骤中通过设置fetch-depth: 0来获取完整历史记录
yamlname: Pipeline Example With 2MS on: pull_request: workflow_dispatch: push: branches: [main] jobs: test: runs-on: ubuntu-latest steps: - name: Checkout code uses: actions/checkout@b4ffde65f46336ab88eb53be808477a3936bae11 # v4.1.1 with: # 2ms需要可见所有提交历史 fetch-depth: 0 # ... - name: Run 2ms Scan run: docker run -v $(pwd):/repo checkmarx/2ms:2.8.1 git /repo
- 本示例使用2ms的2.8.1版本。请确保检查最新版本。
Azure DevOps Pipeline
要在Azure DevOps Pipeline中使用2ms,请创建新管道(查看本教程了解Azure DevOps Pipelines入门)。然后,使用以下模板创建azure-pipelines.yml文件来运行2ms:
yamltrigger: - master pool: vmImage: ubuntu-latest steps: - script: docker run -v $(pwd):/repo checkmarx/2ms:2.8.1 git /repo displayName: Run 2ms
运行2ms扫描
概述
2ms具有用于扫描每个支持平台的专用命令。要运行扫描,您需要输入要扫描的平台的命令,以及与该平台相关的所有参数。扫描命令参数用于身份验证以及提供有关将要扫描的位置的详细信息。这些参数因平台而异。此外,您可以添加全局标志来自定义扫描配置。 扫描命令的基本结构是:
text2ms <扫描命令> [扫描命令参数] [全局标志]
扫描命令参数和全局标志可以作为扫描命令中的标志传递,也可以通过配置文件传递。
扫描命令
以下部分描述用于扫描每个支持平台的参数。
Git仓库
扫描本地Git仓库
text2ms git <Git仓库本地路径> [标志]
| 标志 | 类型 | 默认值 | 描述 |
|---|---|---|---|
--all-branches | - | false - 仅当前检出分支 | 扫描所有分支 |
--depth | int | 无限制 | 限制从HEAD扫描的历史提交数量 |
--base-commit | string | - | 基础提交,用于扫描基础提交和HEAD之间的提交 |
例如
bashgit clone [***] cd my-repo 2ms git .
使用Docker运行示例:
bashdocker run -v $(pwd):/repo checkmarx/2ms git /repo
本地目录
扫描本地目录
bash2ms filesystem --path PATH [标志]
| 标志 | 类型 | 默认值 | 描述 |
|---|---|---|---|
--path | string | - | 本地目录路径 |
--project-name | string | - | 用于区分不同文件系统扫描的项目名称 |
--ignore-pattern | strings | - | 要忽略的模式 |
使用Docker运行示例:
bashdocker run -v /path/to/local/directory:/scan checkmarx/2ms filesystem --path /scan
全局标志
下表描述了可与任何扫描命令一起使用的全局标志。
| 标志 | 类型 | 默认值 | 描述 |
|---|---|---|---|
| --config | string | 配置文件路径 | |
| -h, --help | string | 2ms命令帮助 | |
| --ignore-on-exit | None | 定义应忽略哪种非零退出代码。选项包括:all、results、errors、none。例如,如果设置为'results',则只有引擎错误会使2ms退出代码不同于0。 | |
| --log-level | string | info | 返回的日志类型。选项包括:trace、debug、info、warn、error、fatal、none |
| --report-path | strings | 生成报告文件的路径。输出格式由文件扩展名确定(.json、.yaml、.sarif) | |
| --stdout-format | string | yaml | 标准输出格式,可用格式:json、yaml、sarif |
checkmarx/kics
KICS是保障基础设施即代码(IaC)安全的工具
145M+ pulls
上次更新:未知
checkmarx/ast-cli
暂无描述
25M+ pulls
上次更新:未知
checkmarx/cx-flow
暂无描述
31M+ pulls
上次更新:未知
checkmarx/automation-circleci
Custom automation image that has the latest Python version
10K+ pulls
上次更新:未知
nukengprodservice/checkmarx
NUK工程生产力Checkmarx仓库镜像,用于集成Checkmarx静态应用安全测试工具,支持工程团队在开发流程中进行代码安全检测与管理,提升开发生产力和安全合规性。
50K+ pulls
上次更新:未知
checkmarx/dast
Checkmarx DAST Docker镜像是集成ZAP的动态应用安全测试工具,支持Web爬虫扫描和API安全测试(需OpenAPI/Postman规范文件),通过CLI与CxOne环境关联,提供灵活的扫描配置与输出,适用于自动化安全漏洞检测。
110K+ pulls
上次更新:未知
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录仓库拉取
通过 Docker 登录认证访问私有仓库
Linux
在 Linux 系统配置镜像服务
Windows/Mac
在 Docker Desktop 配置镜像
Docker Compose
Docker Compose 项目配置
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
MacOS OrbStack
MacOS OrbStack 容器配置
宝塔面板
在宝塔面板一键配置镜像
群晖
Synology 群晖 NAS 配置
飞牛
飞牛 fnOS 系统配置镜像
极空间
极空间 NAS 系统配置服务
爱快路由
爱快 iKuai 路由系统配置
绿联
绿联 NAS 系统配置镜像
威联通
QNAP 威联通 NAS 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
专属域名拉取
无需登录使用专属域名
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 访问,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
轩辕镜像支持哪些镜像仓库?
专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等;免费版仅支持 docker.io。
流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"
咨询镜像拉取问题请 提交工单,官方技术交流群:1072982923
轩辕镜像面向开发者与科研用户,提供开源镜像的搜索和访问支持。所有镜像均来源于原始仓库,本站不存储、不修改、不传播任何镜像内容。