Git Secrets Scanner — Git 安全扫描器

Name: Git Secrets Scanner — Git 安全扫描器
Author: guohongbin-git

guohongbin-git

Git Secrets Scanner — Git 安全扫描器

v1.0.0

该技能提供指南，使用知名工具（gitleaks、trufflehog、git-secrets）扫描 Git 提交历史中的敏感信息泄露（API 密钥、密码、令牌）

0· 1,200·0 当前·0 累计

by @guohongbin-git·MIT-0

安全 API工具开发工具

下载技能包

License

MIT-0

最后更新

2026/2/19

安全扫描

VirusTotal

可疑

查看报告

OpenClaw

安全

high confidence

本技能为指南，指导运行知名 Git 秘密扫描工具（gitleaks、trufflehog、git-secrets），其要求和指令与此目的一致，不要求意外的凭证或安装任意代码

评估建议

本指南看似连贯，使用知名工具，但在执行破坏性步骤前请谨慎：在重写历史或运行 BFG 之前备份仓库，并谨慎使用 `git push --force`。启用预提交钩时，请先审查钩子脚本。如果启用 CI 扫描，请给予令牌（如 GITHUB_TOKEN）最小权限。注意 TruffleHog 的验证可能会联系外部服务——如果这是一个问题，请禁用验证或离线运行扫描。最后，建议从官方项目页面安装推荐工具（而非随机镜像），避免以 root 运行未知安装脚本...

详细分析 ▾

✓ 用途与能力

名称/描述、所需二进制文件（git）以及指令都集中在使用 gitleaks/trufflehog/git-secrets 扫描 git 仓库中的秘密。没有无关的所需环境变量、二进制文件或配置路径。

ℹ 指令范围

SKILL.md 保持在主题内（如何安装和运行扫描器、预提交钩、CI 集成、历史清理）。它还包括可能具有破坏性的但相关的指导（BFG、Git 历史重写和 `git push --force`）以及用于扫描多个存储库或安排扫描的示例脚本，这些扫描可能会访问许多存储库——这些都在范围内，但带有操作风险。文档提到 TruffleHog 的“验证”（可以联系外部服务来验证秘密）；用户应该意识到验证可能会将候选项发送到远程端点。

✓ 安装机制

这是指令仅（无安装规格）。文档建议通过官方渠道安装工具（Homebrew、GitHub 发布、Go 安装、Docker 或从工具仓库构建）。技能本身不建议从未知主机下载不透明的下载 URL 或提取存档。

✓ 凭证需求

技能声明没有所需的环境变量或凭证。CI 示例使用 GITHUB_TOKEN（适用于 GitHub Actions）并建议使用 git-secrets--register-aws（配置规则而非要求 AWS 凭证）。总体请求访问与扫描任务成比例。

✓ 持久化与权限

always：false 和 user-invocable：true（无强制持久存在）。指令中未尝试修改其他技能或系统范围的代理设置。

安全有层次，运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发，无需署名。

查看条款 ↗

运行时依赖

无特殊依赖

版本

latestv1.0.02026/2/19

● 可疑

安装命令点击复制

官方npx clawhub@latest install git-secrets-scanner

镜像加速npx clawhub@latest install git-secrets-scanner --registry https://cn.clawhub-mirror.com

技能文档

（由于原始内容中的 SKILL.md 已提供部分中文翻译，以下为完整的中文版，保留原始 Markdown 格式和未翻译的代码块）

检查提交中的敏感信息泄露。

工具对比

工具	Stars	特点
Gitleaks	24,958	最流行，Go 编写，快速
TruffleHog	24,612	验证 secrets，支持多种格式
git-secrets	13,173	AWS 官方，pre-commit hook

安装

Gitleaks（推荐）

# macOS brew install gitleaks # Linux # 从 https://github.com/gitleaks/gitleaks/releases 下载

# 或使用 Go go install github.com/gitleaks/gitleaks/v8@latest

TruffleHog

# macOS brew install trufflehog # Linux # 从 https://github.com/trufflesecurity/trufflehog/releases 下载

# 或使用 Docker docker pull trufflesecurity/trufflehog:latest

git-secrets

# macOS brew install git-secrets

# Linux git clone https://github.com/awslabs/git-secrets.git cd git-secrets sudo make install

使用方法

1. 扫描当前仓库

# Gitleaks gitleaks detect --source . -v # TruffleHog trufflehog git file://. --only-verified

# git-secrets（需要先设置 hook） git secrets --scan-history

2. 扫描特定提交

# Gitleaks
gitleaks detect --source . --log-opts="HEAD~1..HEAD"# TruffleHog
trufflehog git file://. --commit=HEAD

3. 扫描所有历史

# Gitleaks gitleaks detect --source . --log-opts="--all"

# TruffleHog trufflehog git file://. --no-deletion

4. 设置 pre-commit hook

# git-secrets
cd your-repo
git secrets --install
git secrets --register-aws

5. CI/CD 集成

# .github/workflows/security.yml name: Security Scan on: [push, pull_request]

jobs: gitleaks: runs-on: ubuntu-latest steps: - uses: actions/checkout@v3 with: fetch-depth: 0 - uses: gitleaks/gitleaks-action@v2 env: GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}

检测的内容

API Keys

AWS Access Keys
GitHub Tokens
Slack Tokens
Stripe Keys
Moltbook API Keys ✨

密码

数据库密码
SMTP 密码
SSH 密钥

Token

OAuth Tokens
JWT Tokens
Bearer Tokens

其他

私钥
证书
.env 文件

输出示例

Finding:     moltbook_sk_jX64MWE_yirqMSihBqb2B7slL64EygBt
Secret:      moltbook_sk_jX64MWE_yirqMSihBqb2B7slL64EygBt
RuleID:      generic-api-key
Entropy:     4.562345
File:        memory/moltbook-art-of-focus-post.md
Line:        45
Commit:      abc1234
Author:      user@example.com
Date:        2026-02-19T03:11:00Z
Fingerprint: abc123...

最佳实践

1. 提交前扫描

# 添加到 .git/hooks/pre-commit
#!/bin/bash
gitleaks protect --staged

2. 定期扫描

# 每周扫描
crontab -e
0 0   0 cd /path/to/repo && gitleaks detect --source .

3. 扫描多个仓库

#!/bin/bash
for repo in ~/projects/; do
  echo "Scanning $repo..."
  gitleaks detect --source "$repo" -v
done

修复泄露的 Secret

如果发现泄露：

立即撤销 - 重新生成 API key

删除历史 - 从 git 历史中删除敏感信息

强制推送 - git push --force（谨慎使用）

通知团队 - 告知其他开发者

使用 BFG 清理历史

# 安装 BFG
brew install bfg
# 清理敏感文件
bfg --delete-files .env
# 清理敏感字符串
bfg --replace-text passwords.txt# 强制推送
git push --force

配置文件

.gitleaks.toml

title = "Custom Gitleaks Config"
[extend]
useDefault = true
[[rules]]
id = "moltbook-api-key"
description = "Moltbook API Key"
regex = '''moltbook_sk_[a-zA-Z0-9]{32}'''
tags = ["api-key", "moltbook"][allowlist]
paths = [
  '''example\.txt''',
  '''test/.'''
]

注意事项

False Positives - 扫描器可能误报
熵值 - 高熵值可能是敏感信息
上下文 - 检查是否真的敏感
验证 - TruffleHog 可以验证 secret 是否有效

版本: 1.0.0 工具: Gitleaks, TruffleHog, git-secrets

数据来源：ClawHub ↗ · 中文优化：龙虾技能库

OpenClaw 技能定制 / 插件定制 / 私有工作流定制

免费技能或插件可能存在安全风险，如需更匹配、更安全的方案，建议联系付费定制

了解定制服务

License

运行时依赖

版本

安装命令 点击复制

技能文档

工具对比

安装

Gitleaks（推荐）

TruffleHog

git-secrets

使用方法

1. 扫描当前仓库

2. 扫描特定提交

3. 扫描所有历史

4. 设置 pre-commit hook

5. CI/CD 集成

检测的内容

API Keys

密码

Token

其他

输出示例

最佳实践

1. 提交前扫描

2. 定期扫描

3. 扫描多个仓库

修复泄露的 Secret

使用 BFG 清理历史

配置文件

.gitleaks.toml

注意事项

安装命令点击复制