GitHub市场SAST工具gitleaks_Github_Github Actions_Gitleaks

GitHub市场SAST工具gitleaks

github

GitHub市场SAST工具gitleaks,github,github-actions,gitleaks,Github,Github Actions,Gitleaks,嗨，Github和Gitleak用户我想使用一个SAST工具gitleaks/gitleaks action，它可以在gihub marketplace上获得，并且符合我们的要求我担心的是, 既然扫描器将在我们GitHub组织的公共和私人回购协议上运行，那么信任GitHub Marketplace（免费提供）上的应用程序是否完全安全 “MIT许可证”要求是否已到位，以确保可用工具的完整性，以便最终用户可以放心地安装这些安全工具？gitleaks扫描GitHub回购协议后，获得的结果是否安全

嗨，Github和Gitleak用户

我想使用一个SAST工具gitleaks/gitleaks action，它可以在gihub marketplace上获得，并且符合我们的要求

我担心的是,

既然扫描器将在我们GitHub组织的公共和私人回购协议上运行，那么信任GitHub Marketplace（免费提供）上的应用程序是否完全安全

“MIT许可证”要求是否已到位，以确保可用工具的完整性，以便最终用户可以放心地安装这些安全工具？gitleaks扫描GitHub回购协议后，获得的结果是否安全

谢谢，

您的问题没有重复，但看起来很像

答案是（不幸的）不

信任Github Marketplace上可用的应用程序不是完全安全的

您可以在此处找到一些参考资料：

请理解，这与您每天用来编写代码的大多数库是一样的

Github市场上的Github操作通常是公开的开源存储库，并不总是由大公司支持
它们中的大多数都执行简单的操作，您可以通过查看存储库代码来检查这些操作，但是所有者总是可以在实现的深处配置恶意的东西
这就是为什么在选择一个或另一个操作/库时需要意识到这一点，并且在将代码及其最终漏洞用于您自己的项目之前要谨慎检查代码及其最终漏洞
如果需要通知个人访问令牌（PAT）作为输入变量，请更加小心
请注意，Github显示了市场上经过验证的用户，可以将其视为“受信任的”
示例：

希望不是每个人都有这种心态（做恶意的事情），而且社区在大多数情况下都是有帮助的。请注意，可能总会有一些风险（一些安全工具可以帮助解决这些风险）。
谢谢，整合的共享信息帮了大忙。我很惊讶地看到，像gitleaks这样的大多数应用程序都没有“验证”徽章（域不是验证域）。除了在GitHub操作中使用GitHub应用程序外，是否建议在内部部署主机上托管相同的应用程序（如gitleaks），这种方法是否比使用GitHub操作运行应用程序更好？我认为这些方法没有什么不同。如果您信任Gitleaks应用程序，那么将其操作与Github操作一起使用是没有问题的，Github操作或in-premisses主机上的行为都是相同的（您将在两种方法中使用的库、代码或操作都是相同的）。