deepfenceio/deepfence_secret_scanner_ce Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务

SecretScanner

镜像概述和主要用途

SecretScanner 是由 Deepfence 开发的工具，用于扫描容器镜像、容器或本地文件系统中的敏感信息（称为"秘密"）。"秘密"包括密码、AWS访问ID、API密钥、SSH密钥、令牌等敏感数据，这些数据若泄露可能导致严重安全风险。该工具可识别此类敏感信息并生成JSON格式报告，帮助用户在CI/CD流程、容器审计或本地系统检查中及时发现并处理敏感信息泄露问题。

核心功能和特性

• 多目标扫描：支持扫描容器镜像、本地目录（递归扫描）
• 灵活输出：生成JSON格式报告，可指定输出目录和文件名
• 性能优化：支持多线程扫描，可配置最大文件大小、最大秘密数量等参数
• 可扩展性：可作为独立工具运行或作为gRPC服务器提供服务
• 配置灵活：通过配置文件自定义扫描规则，支持多匹配模式设置

使用场景和适用范围

• CI/CD流水线安全检查：在应用部署前扫描容器镜像或代码目录，防止敏感信息随部署泄露
• 容器镜像审计：对现有容器镜像进行安全审计，检查是否包含硬编码密钥
• 本地文件系统检查：扫描服务器或开发环境的本地目录，排查敏感文件
• 云原生环境安全：与容器运行时（Docker、containerd）集成，扫描运行中的容器

使用方法和配置说明

Docker快速部署

拉取镜像

shell
docker pull deepfenceio/deepfence_secret_scanner:latest

扫描容器镜像

shell
docker run -it --rm --name=deepfence-secretscanner \
  -v $(pwd):/home/deepfence/output \
  -v /var/run/docker.sock:/var/run/docker.sock \
  -v /run/containerd/containerd.sock:/run/containerd/containerd.sock \
  deepfenceio/deepfence_secret_scanner:latest \
  -image-name node:8.11

扫描本地目录

shell
docker run -it --rm --name=deepfence-secretscanner \
  -v /:/deepfence/mnt \
  -v $(pwd):/home/deepfence/output \
  -v /var/run/docker.sock:/var/run/docker.sock \
  -v /run/containerd/containerd.sock:/run/containerd/containerd.sock \
  deepfenceio/deepfence_secret_scanner:latest \
  -host-mount-path /deepfence/mnt -local /deepfence/mnt

作为gRPC服务器运行

shell
docker run -it --rm --name=deepfence-secretscanner \
  -v $(pwd):/home/deepfence/output \
  -v /var/run/docker.sock:/var/run/docker.sock \
  -v /run/containerd/containerd.sock:/run/containerd/containerd.sock \
  -v /tmp/sock:/tmp/sock \
  deepfenceio/deepfence_secret_scanner:latest \
  -socket-path /tmp/sock/s.sock

通过gRPC客户端扫描

• 扫描容器镜像：

shell
grpcurl -plaintext -import-path ./agent-plugins-grpc/proto -proto secret_scanner.proto \
  -d '{"image": {"name": "node:8.11"}}' -unix '/tmp/sock/s.sock' \
  secret_scanner.SecretScanner/FindSecretInfo

• 扫描本地目录：

shell
grpcurl -plaintext -import-path ./agent-plugins-grpc/proto -proto secret_scanner.proto \
  -d '{"path": "/tmp"}' -unix '/tmp/sock/s.sock' \
  secret_scanner.SecretScanner/FindSecretInfo

命令行选项

构建说明

1. 运行 bootstrap.sh 脚本
2. 安装 Docker
3. 安装 Hyperscan
4. 安装 Go 1.14 版本
5. 安装依赖模块：gohs、yaml.v3 和 color
6. 通过 go get github.com/deepfence/SecretScanner 自动下载并构建，或克隆仓库后运行 go build -v -i 在当前目录生成可执行文件
7. 根据需要编辑 config.yaml 文件，指定配置文件目录运行扫描

本地运行说明

作为独立应用

shell
# 查看帮助
./SecretScanner --help

# 扫描本地目录
./SecretScanner -config-path /path/to/config.yaml/dir -local test

# 扫描容器镜像
./SecretScanner -config-path /path/to/config.yaml/dir -image-name node:8.11

作为服务器应用

shell
./SecretScanner -socket-path /path/to/socket.sock

免责声明

本工具仅用于合法目的，如检测您拥有的基础设施上的秘密，不得用于未授权的基础设施。Deepfence 不对因本工具的不足或缺陷直接或间接造成的任何利润损失、业务损失、财务损失或其他损失承担责任。

致谢

本工具基于 shhgit 项目的配置文件构建。