GitGuardian 是什么?
GitGuardian 是一个领先的代码安全平台,专门用于检测和修复硬编码在源代码中的机密(如API密钥、密码和数据库凭证)。它通过实时扫描存储库、CI/CD管道和开发人员工作站,帮助组织防止数据泄露。通过无缝集成到开发人员的工作流程中,它提供即时反馈和自动化工具,以便在安全问题升级之前进行管理和解决。
主要功能
- 全面的机密检测: 以高精度扫描超过350种类型的机密,最大限度地减少误报。
- 实时监控: 持续监控GitHub、GitLab和Bitbucket等平台上的公共和私有存储库。
- CI/CD集成: 直接集成到您的持续集成管道中,以阻止任何机密进入生产环境。
- 开发人员优先的工作流程: 提供
ggshield,一个命令行工具,供开发人员在本地运行扫描,包括pre-commit和pre-push钩子。 - 自动化修复: 提供一个集中式仪表板,用于优先处理、调查和协作修复泄漏。
- 策略执行: 允许安全团队在整个软件开发生命周期中定义和执行策略。
使用案例
- 防止机密蔓延: 阻止凭证在您的代码库和基础设施即代码文件中扩散。
- 保护CI/CD管道: 自动化安全检查,确保新代码部署时不包含任何机密。
- 合规与审计: 通过证明敏感凭证未被暴露,保持对SOC 2、PCI DSS和HIPAA等标准的合规性。
- 事件响应: 快速检测并响应公司机密在GitHub等平台上的公开泄漏。
入门指南
开始使用GitGuardian最简单的方法是使用其命令行界面ggshield。
- 安装
ggshield:pip install ggshield - 验证您的CLI:
此命令将打开一个浏览器窗口,将您的机器连接到您的GitGuardian工作区。
ggshield auth login - 扫描目录:
在您的本地项目文件夹上运行扫描,以查找任何暴露的机密。
ggshield scan path .
定价
GitGuardian 采用 Freemium(免费增值)模式:
- 免费版: 为个人和小型团队(最多25名开发人员)提供慷慨的免费套餐,用于扫描私有存储库和使用核心功能。
- 商业版: 为大型团队和组织提供的付费计划,提供CI/CD集成、策略执行和SSO等高级功能。
- 企业版: 为具有专门支持和高级安全要求的大规模部署提供的定制计划。
集成
GitGuardian 提供广泛的集成,以适应任何开发生态系统,包括:
- VCS: GitHub, GitLab, Bitbucket, Azure Repos。
- CI/CD: Jenkins, CircleCI, GitLab CI, GitHub Actions, Travis CI。
- SIEM和票务系统: Splunk, Jira, Slack, PagerDuty。