Gitleaks Docker镜像文档

镜像概述

Gitleaks Docker镜像是开源秘密检测工具Gitleaks的容器化版本，基于Alpine Linux构建。该镜像封装了Gitleaks可执行文件，允许用户通过Docker容器便捷地运行Gitleaks的各种子命令，实现对Git仓库中敏感信息（如密码、API密钥、访问令牌等）的自动化扫描，帮助开发团队和安全团队防范代码库中的秘密泄露风险。

支持的标签

• latest
• 8.21.2、8.21.1、8.21.0
• 8.20.1、8.20.0
• 8.19.3、8.19.2、8.19.1、8.19.0
• 8.18.4、8.18.3、8.18.2、8.18.1、8.18.0
• 8.17.0
• 8.16.4、8.16.3、8.16.2、8.16.1、8.16.0

注意：生产环境建议使用特定版本标签（如8.21.2）而非latest，以确保环境稳定性。

支持的架构

• amd64
• arm64v8

核心功能与特性

1. 开源秘密检测：作为开源工具，支持扫描Git仓库中的各类敏感信息（密码、API密钥、访问令牌等），防止信息泄露。
2. 轻量级与高效：基于Alpine Linux构建，镜像体积小，资源占用低，扫描速度快。
3. 易于集成：可无缝集成到CI/CD流水线，支持自动化扫描新提交、分支或Pull Request。
4. 低依赖：无需复杂的额外依赖，可独立运行。
5. 可定制配置：支持通过配置文件自定义扫描规则、排除路径等，满足特定需求。
6. 详细报告：扫描后生成详细报告，便于及时定位和处理敏感信息泄露问题。

使用场景

1. 开发环境本地扫描：开发人员在提交代码前，通过容器快速扫描本地仓库，提前发现敏感信息。
2. CI/CD流水线集成：在代码合并或部署前自动触发扫描，阻止包含敏感信息的代码进入生产环境。
3. 仓库安全审计：定期对Git仓库历史记录进行全面扫描，进行安全审计和合规检查。
4. 多环境一致性：通过容器化确保不同环境（开发、测试、生产）使用统一版本的Gitleaks，避免版本差异导致的扫描结果不一致。

使用方法与配置说明

基本扫描命令

通过docker run命令运行容器，扫描本地Git仓库：

docker run --rm -v /path/to/your/git/repo:/repo zricethezav/gitleaks detect --source=/repo

• --rm：扫描完成后自动删除容器。
• -v /path/to/your/git/repo:/repo：将本地Git仓库目录挂载到容器内的/repo路径。
• detect：Gitleaks的扫描子命令。
• --source=/repo：指定扫描源为容器内挂载的仓库路径。

自定义配置文件

若需使用自定义配置（如自定义敏感信息规则、排除文件等），可将配置文件挂载到容器内：

docker run --rm \
  -v /path/to/your/git/repo:/repo \
  -v /path/to/your/config.toml:/gitleaks.toml \
  zricethezav/gitleaks detect --source=/repo --config=/gitleaks.toml

• -v /path/to/your/config.toml:/gitleaks.toml：挂载自定义配置文件到容器内的/gitleaks.toml。
• --config=/gitleaks.toml：指定使用容器内的自定义配置文件。

作为基础镜像自定义

可将此镜像作为基础镜像，构建包含预设配置的自定义镜像，例如：

FROM zricethezav/gitleaks:8.21.2

# 复制预设配置文件到镜像中
COPY ./custom-config.toml /gitleaks.toml

# 设置默认配置文件路径
ENV GITLEAKS_CONFIG=/gitleaks.toml

构建并使用自定义镜像：

docker build -t my-gitleaks .
docker run --rm -v /path/to/repo:/repo my-gitleaks detect --source=/repo

社区支持

• 问题反馈：关于Gitleaks工具本身的问题，请在Gitleaks主仓库提交issue。
• Docker镜像问题：关于Docker镜像的问题，可联系维护团队Oowy team。