例如:我有一个文件
mycode.py
,其中包含 2 个秘密
myfakesecret : "ANSAJHSAKDKDMKADKAMCKSMKSMCKSCC"
MyOriginalSecret: "H%&&^DBSHDBHBBBS%^&&&DSD2343"
我想在 truffleHog 扫描中忽略 myfakesecret,但不想忽略 MyOriginalSecret。
如果我使用
--exclude_paths exclude-patterns.txt
,其中exclude-patterns.txt
包含mycode.py
,那么松露猪扫描将忽略这两个秘密。
我可以指定秘密哈希或名称或任何其他方式来排除秘密不完整文件,以便它应该忽略特定秘密吗?
理想情况下,您的代码根本不包含敏感秘密。
这样,truffleHog 扫描就没有什么可以忽略/排除的了。
mycode.py
应该在运行时(当您执行程序时)从存储库外部的文件/源中读取该秘密。
我明白,最佳实践是不要将敏感秘密放入代码中。由于一些测试限制,开发人员需要将“myfakesecret”放入代码本身。它导致管道故障,我正在寻找一种方法,例如 .gitignore 如果我可以将秘密名称放入排除文件中,那么扫描应该跳过该秘密。
据了解,在某些测试条件下,代码中必须有“
myfakesecret
”,这会导致管道故障。
虽然 truffleHog 没有提供类似于“
.gitignore
”的直接机制来按名称排除特定秘密,但潜在的解决方法可能是在特定分支中隔离包含“mycode.py
”的“myfakesecret
”版本,并且在进行扫描的主分支中维护“干净”版本。
或者,可以开发自定义脚本来处理 truffleHog 扫描期间排除“
myfakesecret
”。