Segredo no Git espalha rápido
Tokens de API, senhas, chaves SSH, credenciais de banco e arquivos .env não devem entrar em repositórios. Mesmo quando o commit é apagado depois, o histórico pode ter sido clonado, cacheado ou indexado. Gitleaks é uma ferramenta para detectar segredos em repositórios Git, commits e pipelines CI/CD.
Em equipes que hospedam aplicações em VPS, usam deploy automatizado ou mantêm repositórios privados, Gitleaks ajuda a reduzir vazamentos acidentais. Ele deve fazer parte do fluxo de desenvolvimento, não ser usado apenas depois do incidente.
Onde rodar
Rode localmente antes do commit, no pipeline e em auditorias periódicas. Hooks de pre-commit ajudam, mas o CI/CD é a barreira comum para toda equipe. Repositórios antigos também devem ser escaneados, pois segredos podem estar no histórico.
Falsos positivos
Nem todo achado é segredo real. Configure allowlist com cuidado e documente exceções. Não ignore padrões amplos sem revisar. Melhor ajustar regra do que desativar a proteção inteira.
Resposta a vazamento
Se um segredo real foi detectado, não basta remover do arquivo. Rotacione a credencial, invalide token antigo, revise logs de uso e remova do histórico quando necessário. Trate como incidente, especialmente se o repositório já foi compartilhado.
Educação
Explique para a equipe onde guardar segredos: variáveis de ambiente seguras, secret manager, CI/CD secrets ou cofre apropriado. Ferramenta ajuda, mas hábito evita repetição.
Referência
A documentação do Gitleaks apresenta instalação, regras e integração.
Conclusão
Gitleaks reduz risco de segredos vazarem em Git. Com CI/CD, rotação e educação, a equipe evita que credenciais de produção fiquem expostas no histórico.
Nenhum comentário ainda. Seja o primeiro a comentar!