GitGuardian Shield

!GitGuardian

镜像概述

GitGuardian Shield（简称ggshield）是一款CLI应用程序，可在本地环境或CI环境中运行，帮助检测400多种类型的密钥，以及影响代码库的其他潜在安全漏洞或策略违规。

ggshield通过py-gitguardian（Python客户端库）使用GitGuardian公共API，扫描并检测文件和其他文本内容中的潜在漏洞。仅存储扫描的元数据（如调用时间、请求大小和扫描模式），不会存储密钥和策略违规事件，也不会在仪表板上显示此类信息。

核心功能与特性

• 密钥检测：发现、修复和防止400多种类型的硬编码密钥
• 配置检查：检测100多种基础设施即代码(IaC)安全错误配置
• 本地与CI兼容：支持在本地环境和CI环境中运行
• 安全扫描：扫描文件和文本内容中的潜在安全漏洞
• 隐私保护：仅存储扫描元数据，不存储实际文件和密钥内容
• 策略合规：检测代码库中的策略违规情况

使用场景与适用范围

• 开发环境：开发人员本地代码检查，防止密钥硬编码提交
• CI/CD流水线：集成到持续集成流程中，在代码合并前进行安全检查
• 代码审查：作为代码审查流程的一部分，自动检测安全问题
• 基础设施即代码检查：扫描Terraform、CloudFormation等IaC文件的安全配置
• 安全审计：对现有代码库进行安全审计，发现潜在的密钥泄露

使用方法与配置说明

前提条件

使用ggshield需要从GitGuardian获取API密钥，可通过以下链接申请：
GitGuardian API密钥申请

环境变量配置

需将API密钥添加到环境变量中：

shell
GITGUARDIAN_API_KEY=<GitGuardian API密钥>

Docker部署方案

Docker Run命令示例

shell
docker run -e GITGUARDIAN_API_KEY=<GitGuardian API密钥> gitguardian/ggshield scan <目标路径>

基本扫描命令

扫描当前目录：

shell
docker run -e GITGUARDIAN_API_KEY=<API密钥> -v $(pwd):/scan gitguardian/ggshield scan /scan

扫描特定文件：

shell
docker run -e GITGUARDIAN_API_KEY=<API密钥> -v $(pwd):/scan gitguardian/ggshield scan /scan/path/to/file

扫描Git仓库历史：

shell
docker run -e GITGUARDIAN_API_KEY=<API密钥> -v $(pwd):/scan gitguardian/ggshield scan repo /scan

相关资源

• GitHub项目地址：[***]
• ***文档：GitGuardian Shield文档
• API密钥申请：GitGuardian API密钥