代码密钥扫描

技能简介

ggshield-scanner 封装 GitGuardian 的 ggshield CLI，在代码提交前自动识别 500 余种硬编码敏感信息，包括 API 密钥、数据库密码、云服务凭证等。

能做什么

• 扫描整个 Git 仓库（含历史提交）中的泄露密钥
• 检查单个文件或暂存区的变更
• 安装预提交钩子，阻断含密钥的提交
• 扫描 Docker 镜像层中的敏感信息

使用说明

1. 安装依赖

pip install ggshield>=1.15.0

2. 配置 API 密钥

注册 GitGuardian 获取免费 API 密钥，设置环境变量：

export GITGUARDIAN_API_KEY="your-api-key-here"

3. 安装技能

clawdhub install ggshield-scanner

4. 常用命令

@clawd scan-repo /path/to/project    # 扫描完整仓库
@clawd scan-file config.py           # 扫描单个文件
@clawd scan-staged                   # 扫描暂存区变更
@clawd install-hooks                 # 安装预提交钩子
@clawd scan-docker my-app:latest     # 扫描 Docker 镜像

输入与输出

见下方输入与输出表格。

风险提示

• 需将 GITGUARDIAN_API_KEY 设为环境变量，密钥保管不当可能导致服务被滥用
• 扫描结果仅显示密钥位置和类型，不会展示密钥本身内容
• 历史提交中的密钥需配合 git-filter-repo 等工具彻底清除
• Docker 镜像扫描可能暴露构建过程中的临时凭证

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/amascia-gg/ggshield-scanner/SKILL.md
来源类型：开源社区技能