GitLeaks und TruffleHog sind Open-Source-Werkzeuge, die Git-Repositories auf versehentlich eingebettete Geheimnisse (Secrets) durchsuchen — API-Schlüssel, Passwörter, Tokens, private Schlüssel und Datenbankverbindungsstrings.
Eingebettete Secrets in Code-Repositories sind ein häufiger und kritischer Sicherheitsfehler. Selbst wenn ein Commit nachträglich entfernt wird, bleibt er in der Git-Historie erhalten und ist weiter auffindbar. GitLeaks und TruffleHog scannen die gesamte Commit-Historie und erkennen Muster durch reguläre Ausdrücke und Entropie-Analyse. Beide lassen sich als Pre-Commit-Hook oder in CI/CD-Pipelines integrieren, um Secrets vor dem Push zu erkennen. Gefundene Secrets müssen sofort rotiert werden.