gitlab 中的 trufflehog ci

Question

我正在尝试在 GitLab CI 中手动设置 truffleHog 以扫描我的 GitLab 存储库中的秘密。我想我配置错误了我的工作。我的猜测是我传递给 trufflehog 的文件路径是错误的，因为作业运行很快并以 "job succeeded" 结束，尽管事实上我有一个带有“----BEGIN PGP PRIVATE KEY BLOCK”的虚拟文本文件-----" 和 "EAACEdEose0cBA23456gfde4567hgf" 来测试它是否按预期工作。

我的 .gitlab-ci.yml 看起来像：

stages:
  - secrets

trufflehog:
  stage: secrets
  image: python:3-alpine
  script:
    - apk add --no-cache git
    - pip install trufflehog
    - adduser -S truffleHog
    - trufflehog --entropy true "file://$PWD"

trufflehog 命令的原始输出如下所示：

$ trufflehog --entropy true "file://$PWD" 
[0Ksection_end:1570219434:build_script 
[0Ksection_start:1570219434:after_script 
[0Ksection_end:1570219435:after_script 
[0Ksection_start:1570219435:archive_cache 
[0Ksection_end:1570219437:archive_cache 
[0Ksection_start:1570219437:upload_artifacts_on_success
[0Ksection_end:1570219438:upload_artifacts_on_success 
[0KJob succeeded

对我可能出错的地方有什么建议吗？

Answer 1

如TruffleHog docs:

中所述

要扫描 repo，您不应使用 "file" 选项：

truffleHog --regex --entropy=False https://github.com/dxa4481/truffleHog.git

无论如何，如果你想用文件选项扫描本地目录，调用时似乎没有引号：

 truffleHog file:///user/dxa4481/codeprojects/truffleHog/

如果你的目录没有空格，你可以不加引号试试吗？

trufflehog --entropy true file:"//$PWD"