Gitleaks : Evitez le vol de secrets sur Git !
Vous êtes développeur et vous contribuez à des dépôts Git publics ? Une erreur de commit est vite arrivée, et vos données sensibles peuvent se retrouver publiées par inadvertance...
En 2021, Gitgardian annonçait détecter 5000 secrets par jour sur Github, 85% seraient liées à des repository personnels et 15% à des repository d'entreprise.
Pour éviter ce genre de scénario, par exemple la publication accidentelle d'une clé d'API sur un dépôt public, Gitleaks est un outil indispensable. Il permet de sécuriser vos dépôts Git et de vérifier que chaque commit ne contient aucune information sensible. Cela vous protège contre des fuites qui pourraient conduire jusqu'à un piratage ou un vol de données sensibles de votre infrastructure.
Comment fonctionne Gitleaks ?
Gitleaks agit au niveau du pre-commit, c'est-à-dire que l'outil est exécuté avant que le commit ne soit ajouté à votre repository Git. Pour cela, vous avez deux options pour mettre l'outil en place :
- Utiliser Pre-commit : Vous pouvez passer par la solution Pre-commit et ajouter Gitleaks comme commande à lancer avant chaque commit.
- Utiliser un hook Git : Vous pouvez aussi utiliser la fonctionnalité native des hooks de Git en copiant le fichier "pre-commit.py" de Gitleaks dans le répertoire
.git/hooks/
de votre repository.
Ces méthodes garantissent une vérification systématique des commits.
Si vous êtes débutant en Git, le livre Git PRO est gratuit sur Kindle, je vous invite à le lire. Ce livre constitue une référence :
Vous pouvez aussi réaliser des contrôles automatisés avec Gitleaks-Actions pour vérifier le contenu de repository automatiquement au travers d'une action Github automatisée.
Gitleaks Action est malheureusement plus sous licence MIT, celui-ci est payant pour les organisations, mais gratuit d'utilisation pour les projets personnels. Une demande de clef gratuite est possible depuis le site Gitleaks.io.
Comment ignorer des fichiers ?
Si Gitleaks détecte de faux positifs, vous pouvez créer un fichier ".gitleaksignore" à la racine de votre repository pour spécifier les fichiers ou motifs à ne pas analyser. Cela peut être très pratique pour des fichiers qui contiennent des données non sensibles, mais qui pourraient être identifiés par erreur.
Gitleaks, un projet open source solide
Gitleaks est un projet open source distribué sous licence MIT. Le code source est disponible sur GitHub. Avec plus de 17 000 stars et environ 180 contributeurs, c'est un projet mature et fiable. Vous pouvez donc l'intégrer sereinement à votre workflow Git.
En intégrant Gitleaks, vous prenez des mesures concrètes pour protéger vos dépôts et vos données sensibles, tout en renforçant la qualité et la sécurité de votre code.
Vous souhaitez discuter code et cybersécurité, le serveur Discord Geeek est disponible pour tous les lecteurs du blog.
Si les sujets autour de la cybersécurité vous intéressent, je vous recommande mes autres articles dédiés sur le sujet.