SecretMagpie

概述

SecretMagpie是一款秘密检测工具，用于发现GitHub或Bitbucket仓库中隐藏的秘密信息。它整合了多个开源工具，可扫描组织内所有仓库的所有分支，将结果整合为JSON格式输出，并在屏幕上显示关键统计信息。通过集成Trufflehog和Gitleaks等开源工具，SecretMagpie能够检测多种类型的秘密，确保无遗漏。

核心功能与特性

• 多工具整合：结合Trufflehog和Gitleaks两款专业秘密检测工具，提高检测覆盖率
• 全面扫描：支持扫描组织内所有仓库的所有分支，而非仅默认分支
• 结果整合：将多工具扫描结果统一处理为JSON/CSV格式输出
• 统计展示：扫描完成后在屏幕显示关键统计信息，便于快速了解整体情况
• 跨平台支持：同时支持GitHub和Bitbucket代码仓库
• Docker化部署：提供Docker镜像，简化部署流程，开箱即用

使用场景与适用范围

• 开发团队：在代码提交前检测潜在的秘密泄露
• 安全团队：对组织代码库进行安全审计，发现泄露的API密钥、令牌等敏感信息
• 合规检查：满足数据安全合规要求，确保敏感信息未被意外提交到代码仓库
• 组织级扫描：适用于需要批量扫描多个仓库的企业或团队

使用方法与配置说明

Docker快速部署

SecretMagpie提供Docker镜像，只需两个必填参数即可启动扫描：

GitHub仓库扫描

shell
docker run punksecurity/secret-magpie github --org 'GitHub组织名称' --pat '个人访问令牌'

Bitbucket仓库扫描

shell
docker run punksecurity/secret-magpie bitbucket --workspace '工作区名称' --username '用户名' --password '应用密码'

获取扫描结果

从容器复制结果文件

shell
docker cp '容器ID或名称':/app/results/results.[csv/json] /本地目标路径

挂载卷实时获取结果

shell
docker run -v /本地路径:/app/results punksecurity/secret-magpie [其他参数]

非Docker安装（可选）

若不使用Docker，需手动安装以下依赖：

• Python 3.10
• Git
• Trufflehog（需添加到PATH）
• Gitleaks（需添加到PATH）

安装Python依赖：

shell
pip install -r requirements.txt

完整使用参数

usage:
 secret-magpie {bitbucket,github} [options]

位置参数:
  {github,bitbucket}   选择要扫描的代码平台

选项:
  -h, --help            显示帮助信息并退出
  --out OUT             输出文件名（默认：results）
  --out-format {csv,json}  输出文件格式（csv或json）
  --parallel-repos PARALLEL_REPOS  并行处理的仓库数量（建议不超过3，默认：4）
  --disable-trufflehog  禁用Trufflehog扫描
  --disable-gitleaks    禁用Gitleaks扫描
  --single-branch       仅扫描默认分支
  --dont-store-secret   不在结果中存储明文秘密
  --no-stats            不输出统计摘要

GitHub平台专用参数:
  --org ORG             目标GitHub组织名称
  --pat PAT             GitHub个人访问令牌（用于API访问和仓库克隆）

Bitbucket平台专用参数:
  --workspace WORKSPACE 目标Bitbucket工作区名称
  --username USERNAME   Bitbucket用户名
  --password PASSWORD   Bitbucket应用密码