Env Guard

🔐 代码密钥泄露扫描卫士

开源代码密钥泄露扫描工具,支持自定义规则与CI集成,基于正则匹配检测API密钥、密码、私钥等敏感信息,适合开发安全左移场景。

收藏
3.1k
安装
1.2k
版本
1.0.2
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

EnvGuard 是一款基于 Node.js 的轻量级密钥泄露检测工具,通过正则表达式扫描本地代码仓库和工作目录,识别可能被意外提交到版本控制的敏感信息。用户执行 node src/env-guard.js scan <路径> 即可启动扫描,支持自定义检测规则和允许列表过滤误报。

显著优点

  • 检测覆盖面较广:内置支持 OpenAI API 密钥 (sk-...)、AWS 凭证 (AKIA...)、GitHub Token (ghp_...)、各类数据库连接字符串、Discord/Slack Webhook 等常见敏感模式
  • CI/CD 友好:返回退出码 1 便于集成到流水线门禁,实现安全左移
  • 可扩展性:支持自定义正则规则,适配团队特定的密钥格式
  • 本地化执行:扫描过程完全离线,数据不上传云端

潜在缺点与局限性

  • 正则匹配的固有局限:依赖硬编码模式,无法检测混淆、编码或分片的密钥;对新型密钥格式(如未来云服务的新 Token 前缀)需要持续更新规则
  • 误报风险:通用模式(如 password=)可能匹配配置文件中的占位符或非敏感内容,需人工维护允许列表
  • 无深度语义分析:无法理解代码上下文,可能漏检动态生成的密钥字符串
  • 单文件架构:核心逻辑集中,大型仓库扫描性能未经明确优化

适合人群

  • 个人开发者:预防意外提交 .env 文件或调试日志中的密钥
  • 小型团队:作为 Git hooks 或 CI 前置检查,降低泄露风险
  • 开源项目维护者:在 PR 阶段拦截敏感信息

常规风险

  • 扫描即信任:工具本身需完整访问目标目录,若工具被篡改或存在漏洞,可能成为新的攻击面
  • 结果误读:高置信度检测仍可能出现漏报,不能替代代码审计和专业密钥管理服务(如 HashiCorp Vault、AWS Secrets Manager)
  • 许可证风险:MIT 许可证允许自由使用,但免责声明中责任免除条款较为宽泛,企业用户需评估法务合规性

Env Guard 内容

src文件夹
手动下载zip · 7.5 kB
env-guard.jstext/javascript
请选择文件