Secrets Scanner

🔑 IaC 密钥泄露检测与迁移助手

离线扫描 IaC 文件与配置数据,智能识别硬编码凭证、API 密钥及密钥管理缺陷,并提供 AWS Secrets Manager 迁移方案与 git 历史清理指引。

收藏
4.3k
安装
1k
版本
1.0.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

AWS Secrets & Credential Exposure Scanner 是一款纯指令型安全分析工具,不直接调用 AWS API,而是依赖用户提供的离线数据进行深度审计。用户可粘贴 Terraform HCL、CloudFormation YAML、CDK 代码或 Lambda/ECS 环境变量导出结果,Claude 将执行多维度模式匹配与熵值分析,识别 8 类高危凭据暴露风险。

扫描范围与检测能力

  • AWS 原生凭证:Access Key ID(AKIA...)、Secret Access Key(40 位随机串)
  • 第三方服务密钥:Stripe live key、Twilio SID、SendGrid API key、Slack webhook URL
  • 基础设施敏感信息:数据库连接字符串内嵌密码、JWT 签名密钥、RSA/SSH 私钥块
  • 配置反模式:Lambda/ECS 环境变量直接硬编码密钥(违反 AWS 安全最佳实践)

显著优点

1. 零权限风险:无需 AWS 账户凭证,完全规避因扫描工具本身遭入侵导致的横向移动风险
2. 深度上下文分析:不仅匹配正则,更结合「爆炸半径评估」——分析泄露凭证可访问的 AWS 服务、账户及数据资源

3. 闭环修复方案:输出结构化迁移计划(含 AWS Secrets Manager SDK 代码片段)、git 历史清理命令(BFG/git-filter-repo)、pre-commit 钩子配置

4. 多源兼容:支持 IaC 代码、CLI 导出 JSON、手动描述三种输入模式

潜在局限与注意事项

  • 依赖用户数据质量:若用户未彻底脱敏(误粘贴真实密钥值),存在意外泄露给 Claude 会话的风险;工具要求用户「先脱敏再粘贴」
  • 无实时验证:无法主动测试密钥是否有效,依赖模式匹配可能存在误报(如高熵随机字符串被误判为密钥)
  • 覆盖范围有限:针对云原生密钥设计,对 Kubernetes Secrets、Azure/GCP 特定凭证格式需额外规则扩展
  • 历史数据盲区:仅分析用户主动提供的快照,无法持续监控代码仓库动态变更

适合人群

  • DevSecOps 工程师、云架构师进行部署前安全审计
  • 开发团队执行遗留系统密钥梳理与迁移
  • 合规审计人员生成凭证暴露风险评估报告
  • 开源项目维护者清理意外提交的敏感文件历史

常规风险

| 风险类型 | 说明 |
|---------|------|
| 数据残留 | 用户若未遵循「移除真实值再粘贴」指引,密钥可能进入 Claude 对话上下文 |
| 修复滞后 | 扫描发现≠即时修复,凭证可能在你阅读报告期间仍活跃且被利用 |
| 模式绕过 | 编码/混淆的密钥(Base64、分段存储)可能逃逸正则检测 |

> 建议操作流程:发现高危凭证 → 立即轮转 → 清理 git 历史 → 迁移至 Secrets Manager → 启用 pre-commit 拦截。

Secrets Scanner 内容

手动下载zip · 3.0 kB
skill-card.mdtext/markdown
请选择文件