GitHub市场SAST工具gitleaks
嗨,Github和Gitleak用户 我想使用一个SAST工具gitleaks/gitleaks action,它可以在gihub marketplace上获得,并且符合我们的要求 我担心的是, 既然扫描器将在我们GitHub组织的公共和私人回购协议上运行,那么信任GitHub Marketplace(免费提供)上的应用程序是否完全安全 “MIT许可证”要求是否已到位,以确保可用工具的完整性,以便最终用户可以放心地安装这些安全工具?gitleaks扫描GitHub回购协议后,获得的结果是否安全 谢谢,您的问题没有重复,但看起来很像 答案是(不幸的)不 信任Github Marketplace上可用的应用程序不是完全安全的 您可以在此处找到一些参考资料:GitHub市场SAST工具gitleaks,github,github-actions,gitleaks,Github,Github Actions,Gitleaks,嗨,Github和Gitleak用户 我想使用一个SAST工具gitleaks/gitleaks action,它可以在gihub marketplace上获得,并且符合我们的要求 我担心的是, 既然扫描器将在我们GitHub组织的公共和私人回购协议上运行,那么信任GitHub Marketplace(免费提供)上的应用程序是否完全安全 “MIT许可证”要求是否已到位,以确保可用工具的完整性,以便最终用户可以放心地安装这些安全工具?gitleaks扫描GitHub回购协议后,获得的结果是否安全
希望不是每个人都有这种心态(做恶意的事情),而且社区在大多数情况下都是有帮助的。请注意,可能总会有一些风险(一些安全工具可以帮助解决这些风险)。谢谢,整合的共享信息帮了大忙。我很惊讶地看到,像gitleaks这样的大多数应用程序都没有“验证”徽章(域不是验证域)。除了在GitHub操作中使用GitHub应用程序外,是否建议在内部部署主机上托管相同的应用程序(如gitleaks),这种方法是否比使用GitHub操作运行应用程序更好?我认为这些方法没有什么不同。如果您信任Gitleaks应用程序,那么将其操作与Github操作一起使用是没有问题的,Github操作或in-premisses主机上的行为都是相同的(您将在两种方法中使用的库、代码或操作都是相同的)。