Tag: git-secrets

目次

関連ページ

参考情報

インストール

  • Homebrewの場合
    brew install git-secrets
  • MacPortsは存在しない。しかし単なるシェルスクリプトなので以下で良い
    make install

初期設定

  • 特定のgitリポジトリでだけ使用する場合。
    cd /path/to/my/repo
    git secrets --install
    git secrets --register-aws
    
  • これによって.git/configの「secrets」のなかに設定が保存される。

Tips

「--register-aws」の意味

  • aws向けの設定をconfigに追加するとともに、~/.aws/credentialsに含まれるキーがソースコードに含まれないことを保証するためのオールインワンオプション。
  • 以下のような情報が追加される。
    [secrets]
        providers = git secrets --aws-provider
        patterns = (A3T[A-Z0-9]|AKIA|AGPA|AIDA|AROA|AIPA|ANPA|ANVA|ASIA)[A-Z0-9]{16}
        patterns = (\"|')?(AWS|aws|Aws)?_?(SECRET|secret|Secret)?_?(ACCESS|access|Access)?_?(KEY|key|Key)(\"|')\
    ?\\s*(:|=>|=)\\s*(\"|')?[A-Za-z0-9/\\+=]{40}(\"|')?
        patterns = (\"|')?(AWS|aws|Aws)?_?(ACCOUNT|account|Account)_?(ID|id|Id)?(\"|')?\\s*(:|=>|=)\\s*(\"|')?[\
    0-9]{4}\\-?[0-9]{4}\\-?[0-9]{4}(\"|')?
        allowed = AKIAIOSFODNN7EXAMPLE
        allowed = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    
  • この並びに意味はない?最初の「providers = git secrets --aws-provider」が~/.aws/credentialsのチェックに使われ、のこりは一般的なチェックパターン(と許可パターン)ということだと思われる。

「--add-provider」ってどういうオプション?

  • git-secrets 導入 — シガナイエンジニアの雑記が参考になる。
    git secrets --add-provider -- cat SECRET_WORDS.txt
  • するとconfigに以下の設定が追加される。
        providers = cat SECRET_WORDS.txt
    
  • providersで指定されたコマンドがチェックで実行されるというような意味だと思われる。

awsのどのパターンがマッチしているか知りたい

  • git-secretsは設定さえたpatternsを結合してgrepに渡しているだけ。
  • どこがマッチしたかを表示するオプションは存在しない?
  • しかし.git/configなどの設定ファイルからpatternsを1つずつ削除していってその都度スキャンすればどれがマッチしたかは絞り込める。

patternsとallowedの関係

  • 公式サイトには以下のような情報が含まれている。まず最初にpatternsにマッチした行が集められ、それがallowedで打ち消されるかチェックするということっぽい。
    まず、git-secrets はファイルから禁止されたマッチを含むすべての行を抽出します。マッチした結果に含まれるのは、マッチしたファイル名のフルパスの後に ':' が続き、マッチした行番号が続き、シークレットパターンでマッチしたファイルの行全体が続きます。そして、許可される正規表現を定義している場合は、git-secrets はマッチしたすべての行が登録した許可される正規表現の少なくともひとつにマッチするかどうかを調べます。秘密と判定された行がすべて許可されたマッチで打ち消された場合は、そのサブジェクトテキストには秘密が含まれていません。一致した行のどれかが許可された正規表現に一致しなかった場合、git-secrets はコミット/マージ/メッセージを失敗させます。
    

トラブルシューティング

aws_access_key_idにマッチしない?

  • 例えばAWSアクセスキーをGitリポジトリに混入させないために git-secrets を導入した | DevelopersIOのサンプルは3行目しかマッチしない。
    [default]
    aws_access_key_id = AKIAIOSFODNN7EXAMPLo
    aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEo
    
  • 「aws_access_key_id=」にマッチするpatternsは存在しないので、マッチするとすれば「patterns = [A-Z0-9]{20}」だが、これも大文字数字20文字なのでマッチしない。原因は不明。
  • 以下の正規表現だと「aws_account_id=」にしかマッチしないのでは。
    (\"|')?(AWS|aws|Aws)?_?(ACCOUNT|account|Account)_?(ID|id|Id)?(\"|')?\\s*(:|=>|=)\\s*(\"|')?[0-9]{4}\\-?[0-9]{4}\\-?[0-9]{4}(\"|')?

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-06-23 (水) 13:42:17