热门搜索:
checkmarx/2ms
checkmarx
Too many secrets (2MS) 帮助用户保护存储在文件、CMS系统、聊天工具和Git中的敏感信息。
1 次收藏下载次数: 0状态:社区镜像维护者:checkmarx仓库类型:镜像最近更新:4 个月前
2ms (Too many secrets)
 是由Checkmarx开发的开源CLI工具,用于识别系统中以未加密文本形式存储的敏感数据,如密钥、认证令牌和密码。该工具支持扫描内部通信平台(Slack、***)、内容管理系统(Confluence、Paligo)和源代码存储位置(Git仓库、本地目录)。
此应用程序采用Go语言编写,基于https://github.com/gitleaks/gitleaks%E6%A1%86%E6%9E%B6%E6%9E%84%E5%BB%BA%E3%80%82
该工具通过一系列规则检查内容,旨在识别各种敏感项,如AWS访问令牌、Bitbucket客户端ID、GitHub PAT等。完整规则列表参见docs/list-of-rules.md。
此外,该工具还整合了基于通用漏洞评分系统(CVSS)的评分机制,帮助优先排序修复工作。
安装
以下部分介绍如何通过以下方法安装2ms:
- Homebrew (macOS/Linux)
- 下载并安装预编译二进制文件
- 从源代码编译
- 从Docker容器运行
- CI/CD集成
从Docker容器运行
我们将2ms的容器镜像发布到https://hub.docker.com/r/checkmarx/2ms%E3%80%82
要从Docker容器运行2ms,请使用以下命令:
docker run checkmarx/2ms
挂载本地目录
您还可以使用-v标志挂载本地目录,语法如下:-v <本地目录路径>:<容器目录路径>
示例:
bashdocker run -v /home/user/workspace/git-repo:/repo checkmarx/2ms git /repo
- 对于
git命令,需要将Git仓库挂载到容器内的/repo目录
CI/CD集成
GitHub Actions
以下是创建GitHub Action的模板,该Action从Docker镜像运行2ms以扫描GitHub仓库。
注意: 确保在actions/checkout步骤中通过设置fetch-depth: 0来获取完整历史记录
yamlname: Pipeline Example With 2MS on: pull_request: workflow_dispatch: push: branches: [main] jobs: test: runs-on: ubuntu-latest steps: - name: Checkout code uses: actions/checkout@b4ffde65f46336ab88eb53be808477a3936bae11 # v4.1.1 with: # 2ms需要可见所有提交历史 fetch-depth: 0 # ... - name: Run 2ms Scan run: docker run -v $(pwd):/repo checkmarx/2ms:2.8.1 git /repo
- 本示例使用2ms的2.8.1版本。请确保检查最新版本。
Azure DevOps Pipeline
要在Azure DevOps Pipeline中使用2ms,请创建新管道(查看本教程了解Azure DevOps Pipelines入门)。然后,使用以下模板创建azure-pipelines.yml文件来运行2ms:
yamltrigger: - master pool: vmImage: ubuntu-latest steps: - script: docker run -v $(pwd):/repo checkmarx/2ms:2.8.1 git /repo displayName: Run 2ms
运行2ms扫描
概述
2ms具有用于扫描每个支持平台的专用命令。要运行扫描,您需要输入要扫描的平台的命令,以及与该平台相关的所有参数。扫描命令参数用于身份验证以及提供有关将要扫描的位置的详细信息。这些参数因平台而异。此外,您可以添加全局标志来自定义扫描配置。 扫描命令的基本结构是:
text2ms <扫描命令> [扫描命令参数] [全局标志]
扫描命令参数和全局标志可以作为扫描命令中的标志传递,也可以通过配置文件传递。
扫描命令
以下部分描述用于扫描每个支持平台的参数。
Git仓库
扫描本地Git仓库
text2ms git <Git仓库本地路径> [标志]
| 标志 | 类型 | 默认值 | 描述 |
|---|---|---|---|
--all-branches | - | false - 仅当前检出分支 | 扫描所有分支 |
--depth | int | 无限制 | 限制从HEAD扫描的历史提交数量 |
--base-commit | string | - | 基础提交,用于扫描基础提交和HEAD之间的提交 |
例如
bashgit clone https://github.com/my-account/my-repo.git cd my-repo 2ms git .
使用Docker运行示例:
bashdocker run -v $(pwd):/repo checkmarx/2ms git /repo
本地目录
扫描本地目录
bash2ms filesystem --path PATH [标志]
| 标志 | 类型 | 默认值 | 描述 |
|---|---|---|---|
--path | string | - | 本地目录路径 |
--project-name | string | - | 用于区分不同文件系统扫描的项目名称 |
--ignore-pattern | strings | - | 要忽略的模式 |
使用Docker运行示例:
bashdocker run -v /path/to/local/directory:/scan checkmarx/2ms filesystem --path /scan
全局标志
下表描述了可与任何扫描命令一起使用的全局标志。
| 标志 | 类型 | 默认值 | 描述 |
|---|---|---|---|
| --config | string | 配置文件路径 | |
| -h, --help | string | 2ms命令帮助 | |
| --ignore-on-exit | None | 定义应忽略哪种非零退出代码。选项包括:all、results、errors、none。例如,如果设置为'results',则只有引擎错误会使2ms退出代码不同于0。 | |
| --log-level | string | info | 返回的日志类型。选项包括:trace、debug、info、warn、error、fatal、none |
| --report-path | strings | 生成报告文件的路径。输出格式由文件扩展名确定(.json、.yaml、.sarif) | |
| --stdout-format | string | yaml | 标准输出格式,可用格式:json、yaml、sarif |
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
DockerHub 原生拉取命令
docker pull checkmarx/2ms:<标签>
更多 2ms 镜像推荐
checkmarx/ast-cli
checkmarx
暂无描述
2 次收藏500万+ 次下载
1 个月前更新
checkmarx/cx-flow
checkmarx
暂无描述
3 次收藏100万+ 次下载
28 天前更新
checkmarx/dast
checkmarx
Checkmarx DAST Docker镜像是集成ZAP的动态应用安全测试工具,支持Web爬虫扫描和API安全测试(需OpenAPI/Postman规范文件),通过CLI与CxOne环境关联,提供灵活的扫描配置与输出,适用于自动化安全漏洞检测。
1 次收藏1万+ 次下载
14 天前更新
checkmarx/git
checkmarx
暂无描述
1万+ 次下载
16 天前更新
checkmarx/automation-circleci
checkmarx
包含最新Python版本的自定义自动化镜像,适用于各类自动化任务的开发与运行。
5万+ 次下载
1 年前更新
checkmarx/go
checkmarx
暂无描述
1万+ 次下载
16 天前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
配置了专属域名后,docker search 为什么会报错?
docker search 限制
Docker Hub 上有的镜像,为什么在轩辕镜像网站搜不到?
站内搜不到镜像
机器不能直连外网时,怎么用 docker save / load 迁镜像?
离线 save/load
docker pull 拉插件报错(plugin v1+json)怎么办?
插件要用 plugin install
WSL 里 Docker 拉镜像特别慢,怎么排查和优化?
WSL 拉取慢
轩辕镜像安全吗?如何用 digest 校验镜像没被篡改?
安全与 digest
第一次用轩辕镜像拉 Docker 镜像,要怎么登录和配置?
新手拉取配置
轩辕镜像合规吗?轩辕镜像的合规是怎么做的?
镜像合规机制
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
docker 无法连接轩辕镜像域名怎么办?
域名连通性排查
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"