Gitleaks - Bảo vệ mã nguồn khỏi rò rỉ thông tin nhạy cảm#

Trong thời đại DevOps và CI/CD, việc bảo mật thông tin nhạy cảm trong mã nguồn là một thách thức lớn. Gitleaks là một công cụ mã nguồn mở được viết bằng Go, chuyên dụng để phát hiện các secrets như passwords, API keys, tokens và các thông tin nhạy cảm khác trong Git repositories.

Giới thiệu về Gitleaks#

Gitleaks sử dụng các biểu thức chính quy (regex) để quét và phát hiện các patterns của secrets trong:

Git repositories (history và commits)
Directories và files
Data từ stdin

Với hơn 23.6k stars trên GitHub và được tin dùng bởi nhiều tổ chức lớn, Gitleaks đã trở thành một trong những công cụ security scanning phổ biến nhất trong cộng đồng DevSecOps.

Kiến trúc hoạt động của Gitleaks#

1
graph TD
2
    A[Source Input] --> B{Input Type}
3
    B -->|Git Repository| C[Git Log Scanner]
4
    B -->|Directory/Files| D[File System Scanner]
5
    B -->|Stdin| E[Stream Scanner]
6

7
    C --> F[Content Processor]
8
    D --> F
9
    E --> F
10

11
    F --> G[Regex Engine]
12
    G --> H[Pattern Matching]
13
    H --> I{Match Found?}
14

15
    I -->|Yes| J[Entropy Check]
16
    I -->|No| K[Continue Scanning]
17

18
    J --> L{High Entropy?}
19
    L -->|Yes| M[Secret Detected]
20
    L -->|No| K
21

22
    M --> N[Apply Allowlists]
23
    N --> O{In Allowlist?}
24
    O -->|Yes| K
25
    O -->|No| P[Report Finding]
26

27
    K --> Q[Scan Complete]
28
    P --> Q
29

30
    style M fill:#ff6b6b
31
    style P fill:#ff6b6b
32
    style G fill:#4ecdc4
33
    style H fill:#4ecdc4

Tại sao cần Gitleaks?#

Vấn đề thường gặp#

1
# Những ví dụ về secrets bị rò rỉ
2
export DATABASE_PASSWORD="super_secret_password123"
3
const API_KEY = "sk-1234567890abcdef"
4
AWS_SECRET_ACCESS_KEY=AKIAIOSFODNN7EXAMPLE

Hệ quả của việc rò rỉ secrets#

Tấn công bảo mật: Kẻ tấn công có thể truy cập vào hệ thống
Mất dữ liệu: Thông tin khách hàng có thể bị đánh cắp
Chi phí tài chính: Phí phạt, chi phí khắc phục sự cố
Uy tín công ty: Mất lòng tin từ khách hàng và đối tác

Timeline của một security incident#

1
gantt
2
    title Quá trình từ Secret Leak đến Security Incident
3
    dateFormat  YYYY-MM-DD
4
    axisFormat  %m/%d
5

6
    section Development
7
    Dev commit secret          :done, dev1, 2025-01-01, 1d
8
    Code review bỏ qua         :done, dev2, after dev1, 1d
9
    Merge vào main branch      :done, dev3, after dev2, 1d
10

11
    section Discovery
12
    Automated scan phát hiện   :crit, disc1, after dev3, 2d
13
    Manual review              :disc2, after disc1, 1d
14

15
    section Attack
16
    Attacker tìm thấy secret   :crit, attack1, after dev3, 5d
17
    Reconnaissance             :attack2, after attack1, 2d
18
    Initial compromise         :crit, attack3, after attack2, 1d
19
    Data exfiltration          :crit, attack4, after attack3, 3d
20

21
    section Response
22
    Incident detected          :resp1, after attack4, 1d
23
    Emergency response         :crit, resp2, after resp1, 2d
24
    Forensic investigation     :resp3, after resp2, 5d
25
    Recovery & hardening       :resp4, after resp3, 7d

So sánh: Với và không có Gitleaks#

1
graph LR
2
    subgraph "Không có Gitleaks"
3
        A1[Developer] --> B1[Commit Secret]
4
        B1 --> C1[Push to Repo]
5
        C1 --> D1[Deploy to Production]
6
        D1 --> E1[Secret Exposed]
7
        E1 --> F1[Security Breach]
8
        F1 --> G1[Incident Response]
9
        G1 --> H1[Business Impact]
10
    end
11

12
    subgraph "Có Gitleaks"
13
        A2[Developer] --> B2[Commit Secret]
14
        B2 --> C2[Pre-commit Hook]
15
        C2 --> D2{Gitleaks Scan}
16
        D2 -->|Secret Found| E2[Block Commit]
17
        D2 -->|Clean| F2[Allow Commit]
18
        E2 --> G2[Developer Fix]
19
        G2 --> B2
20
        F2 --> H2[Safe Deployment]
21
    end
22

23
    style E1 fill:#ff6b6b
24
    style F1 fill:#ff6b6b
25
    style H1 fill:#ff6b6b
26
    style E2 fill:#ffa726
27
    style H2 fill:#66bb6a

Cài đặt Gitleaks#

MacOS (Homebrew)#

1
brew install gitleaks

Docker#

1
# Docker Hub
2
docker pull zricethezav/gitleaks:latest
3

4
# GitHub Container Registry
5
docker pull ghcr.io/gitleaks/gitleaks:latest

Build từ source#

1
git clone https://github.com/gitleaks/gitleaks.git
2
cd gitleaks
3
make build

GitHub Action#

1
name: gitleaks
2
on: [pull_request, push, workflow_dispatch]
3
jobs:
4
  scan:
5
    name: gitleaks
6
    runs-on: ubuntu-latest
7
    steps:
8
      - uses: actions/checkout@v3
9
        with:
10
          fetch-depth: 0
11
      - uses: gitleaks/gitleaks-action@v2
12
        env:
13
          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}

Cách sử dụng Gitleaks#

1. Quét Git Repository#

1
# Quét repository hiện tại
2
gitleaks git
3

4
# Quét repository cụ thể với verbose output
5
gitleaks git -v /path/to/repo
6

7
# Quét trong khoảng commits cụ thể
8
gitleaks git --log-opts="--all commitA..commitB" /path/to/repo

2. Quét Directories và Files#

1
# Quét thư mục hiện tại
2
gitleaks dir
3

4
# Quét thư mục cụ thể
5
gitleaks dir -v /path/to/directory
6

7
# Quét file cụ thể
8
gitleaks dir -v /path/to/file.js

3. Quét từ stdin#

1
# Pipe content vào gitleaks
2
cat some_file.env | gitleaks stdin
3

4
# Kết hợp với các command khác
5
echo "password=secret123" | gitleaks stdin -v

Cấu hình nâng cao#

Tạo file cấu hình tùy chỉnh#

1
title = "Custom Gitleaks Configuration"
2

3
[extend]
4
useDefault = true
5
disabledRules = ["generic-api-key"]
6

7
[[rules]]
8
id = "custom-secret"
9
description = "Custom secret pattern"
10
regex = '''custom-pattern-[a-zA-Z0-9]{20}'''
11
secretGroup = 0
12
entropy = 3.5
13
keywords = ["custom", "secret"]
14
tags = ["custom"]
15

16
[[rules.allowlists]]
17
description = "ignore test files"
18
paths = ['''test/.*\.js$''']

Sử dụng baseline để ignore các findings cũ#

1
# Tạo baseline
2
gitleaks git --report-path baseline.json
3

4
# Sử dụng baseline để chỉ phát hiện findings mới
5
gitleaks git --baseline-path baseline.json --report-path new-findings.json

Pre-commit Hook#

Cài đặt pre-commit hook#

1
repos:
2
  - repo: https://github.com/gitleaks/gitleaks
3
    rev: v8.28.0
4
    hooks:
5
      - id: gitleaks

1
# Cài đặt
2
pre-commit install
3

4
# Test commit
5
git commit -m "this commit contains a secret"
6
# Output: Detect hardcoded secrets.................................................Failed

Bỏ qua gitleaks cho commit cụ thể#

1
SKIP=gitleaks git commit -m "skip gitleaks check"

Các tính năng nâng cao#

1. Composite Rules (Multi-part Rules)#

1
[[rules]]
2
id = "primary-rule"
3
description = "Primary rule requiring auxiliary matches"
4
regex = '''password\s*=\s*['"]([^'"]+)['"]'''
5
secretGroup = 1
6

7
# Required auxiliary rule
8
[[rules.required]]
9
id = "database-context"
10
withinLines = 5
11
withinColumns = 50

2. Decoding tự động#

1
# Bật tính năng decode cho base64, hex, percent encoding
2
gitleaks git --max-decode-depth 3

3. Archive scanning#

1
# Quét bên trong các file archive (zip, tar, etc.)
2
gitleaks git --max-archive-depth 2

4. Custom reporting#

1
# Export ra JSON
2
gitleaks git --report-format json --report-path report.json
3

4
# Export ra CSV
5
gitleaks git --report-format csv --report-path report.csv
6

7
# Export ra SARIF (cho GitHub Security tab)
8
gitleaks git --report-format sarif --report-path report.sarif
9

10
# Custom template
11
gitleaks git --report-format template --report-template custom.tmpl

Bỏ qua false positives#

1. Sử dụng comment inline#

1
const fakeApiKey = "fake-key-for-testing"; // gitleaks:allow

2. Tạo file .gitleaksignore#

1
# Thêm fingerprint của findings cần bỏ qua
2
8d3f3d7a1c2b4e5f6789abcdef:src/test/fixtures.js:generic-api-key:15

3. Cấu hình allowlists trong config#

1
[[allowlists]]
2
description = "ignore test files"
3
paths = ['''test/.*''', '''spec/.*''']
4
regexes = ['''fake-.*''', '''test-.*''']

Tích hợp vào CI/CD Pipeline#

Workflow tích hợp Gitleaks vào CI/CD#

1
sequenceDiagram
2
    participant Dev as Developer
3
    participant Git as Git Repository
4
    participant CI as CI/CD Pipeline
5
    participant GL as Gitleaks Scanner
6
    participant Rep as Report System
7
    participant Sec as Security Team
8

9
    Dev->>Git: Push code
10
    Git->>CI: Trigger pipeline
11
    CI->>GL: Run Gitleaks scan
12

13
    alt Secrets found
14
        GL->>Rep: Generate security report
15
        Rep->>Sec: Alert security team
16
        GL->>CI: Fail pipeline
17
        CI->>Dev: Block deployment
18
        Dev->>Dev: Fix secrets
19
        Dev->>Git: Push fixed code
20
    else No secrets
21
        GL->>CI: Pass scan
22
        CI->>CI: Continue deployment
23
    end

Multi-stage security pipeline#

1
graph TB
2
    subgraph "Security Gates"
3
        A[Code Commit] --> B[Pre-commit Hook]
4
        B --> C{Gitleaks Check}
5
        C -->|Pass| D[Push to Repository]
6
        C -->|Fail| E[Block Commit]
7
        E --> F[Developer Fix]
8
        F --> B
9

10
        D --> G[CI/CD Trigger]
11
        G --> H[Gitleaks Full Scan]
12
        H --> I{Comprehensive Check}
13
        I -->|Pass| J[SAST/DAST Tests]
14
        I -->|Fail| K[Pipeline Failure]
15

16
        J --> L{All Tests Pass?}
17
        L -->|Yes| M[Deploy to Staging]
18
        L -->|No| N[Security Review]
19

20
        M --> O[Production Gitleaks Scan]
21
        O --> P{Final Security Check}
22
        P -->|Pass| Q[Deploy to Production]
23
        P -->|Fail| R[Emergency Stop]
24
    end
25

26
    style C fill:#ffa726
27
    style I fill:#ffa726
28
    style P fill:#ffa726
29
    style E fill:#ff6b6b
30
    style K fill:#ff6b6b
31
    style R fill:#ff6b6b
32
    style Q fill:#66bb6a

GitHub Actions#

1
name: Security Scan
2
on: [push, pull_request]
3

4
jobs:
5
  gitleaks:
6
    runs-on: ubuntu-latest
7
    steps:
8
      - uses: actions/checkout@v3
9
        with:
10
          fetch-depth: 0
11
      - name: Run Gitleaks
12
        uses: gitleaks/gitleaks-action@v2
13
        env:
14
          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}

GitLab CI#

1
gitleaks:
2
  stage: security
3
  image:
4
    name: zricethezav/gitleaks:latest
5
    entrypoint: [""]
6
  script:
7
    - gitleaks git -v --source . --report-format json --report-path gitleaks-report.json
8
  artifacts:
9
    reports:
10
      security:
11
        - gitleaks-report.json
12
    when: always

Jenkins Pipeline#

1
pipeline {
2
    agent any
3
    stages {
4
        stage('Security Scan') {
5
            steps {
6
                script {
7
                    docker.image('zricethezav/gitleaks:latest').inside {
8
                        sh 'gitleaks git -v --source . --report-format json --report-path gitleaks-report.json'
9
                    }
10
                }
11
            }
12
            post {
13
                always {
14
                    archiveArtifacts artifacts: 'gitleaks-report.json', fingerprint: true
15
                }
16
            }
17
        }
18
    }
19
}

Best Practices#

Types of Secrets được Gitleaks phát hiện#

1
mindmap
2
  root((Gitleaks Detection))
3
    API Keys
4
      AWS Access Key
5
      Google API Key
6
      GitHub Token
7
      OpenAI API Key
8
      Stripe API Key
9
    Database Credentials
10
      MySQL Password
11
      PostgreSQL Connection
12
      MongoDB URI
13
      Redis Password
14
      SQLite Database
15
    Cloud Services
16
      Azure Client Secret
17
      GCP Service Account
18
      Docker Registry
19
      Kubernetes Secrets
20
      Terraform Tokens
21
    Third-party Services
22
      Slack Webhook
23
      Twilio Auth Token
24
      SendGrid API Key
25
      Mailgun API Key
26
      Discord Bot Token
27
    Cryptographic Keys
28
      RSA Private Key
29
      SSH Private Key
30
      GPG Private Key
31
      JWT Secret
32
      Encryption Keys
33
    Generic Patterns
34
      Password Fields
35
      Secret Variables
36
      Auth Headers
37
      Bearer Tokens
38
      Basic Auth

Security maturity levels với Gitleaks#

1
graph TD
2
    A[Level 0: Reactive] --> B[Level 1: Basic Protection]
3
    B --> C[Level 2: Integrated Security]
4
    C --> D[Level 3: Advanced Monitoring]
5
    D --> E[Level 4: Automated Response]
6

7
    A1[Manual secret cleanup<br/>Post-incident discovery<br/>No automated scanning] --> A
8
    B1[Pre-commit hooks<br/>Basic CI/CD integration<br/>Default rules] --> B
9
    C1[Custom rules<br/>Multiple scan points<br/>Team training] --> C
10
    D1[Real-time monitoring<br/>Comprehensive reporting<br/>Trend analysis] --> D
11
    E1[Auto-remediation<br/>Zero-trust pipeline<br/>ML-enhanced detection] --> E
12

13
    style A fill:#ff6b6b
14
    style B fill:#ffa726
15
    style C fill:#ffeb3b
16
    style D fill:#8bc34a
17
    style E fill:#4caf50

1. Integrate sớm trong development cycle#

Sử dụng pre-commit hooks
Thêm vào CI/CD pipeline
Train developers về security awareness

2. Cấu hình phù hợp#

Tùy chỉnh rules theo nhu cầu dự án
Sử dụng allowlists để giảm false positives
Thường xuyên cập nhật configuration

3. Monitoring và reporting#

Set up alerts cho findings mới
Regular security reviews
Track metrics về secret detection

4. Incident response#

Có plan để handle khi phát hiện secrets
Rotate keys/passwords ngay lập tức
Audit logs để xem ai đã access

Kết luận#

Gitleaks là một công cụ thiết yếu trong bộ công cụ DevSecOps hiện đại. Với khả năng phát hiện secrets mạnh mẽ, dễ sử dụng và tích hợp linh hoạt, nó giúp teams bảo vệ thông tin nhạy cảm một cách hiệu quả.

Ưu điểm chính:#

✅ Mã nguồn mở và miễn phí
✅ Performance cao với Go
✅ Dễ tích hợp vào existing workflows
✅ Cấu hình linh hoạt với TOML
✅ Community active với frequent updates
✅ Multiple output formats cho reporting
✅ Archive scanning cho comprehensive coverage

Links hữu ích:#

Bắt đầu bảo vệ mã nguồn của bạn ngay hôm nay với Gitleaks! 🔐