安全扫描器 - 检测代码中硬编码凭据、API密钥等敏感信息的安全工具

Security Scanner by bizshuk/llm_plugin

GitHub

安装命令

npx skills add https://github.com/bizshuk/llm_plugin --skill 'Security Scanner'

自动化开发运维安全

🇨🇳中文介绍

安全扫描器

此技能通过扫描硬编码的凭据、API 密钥、令牌以及其他不应提交到版本控制的敏感信息，帮助您识别工作区中潜在的安全漏洞。

扫描内容

安全扫描器会查找常见模式的敏感数据：

凭据与身份验证

密码（硬编码、明文）
身份验证上下文中的用户名
私钥（RSA、SSH、PGP）
身份验证令牌
会话 ID
PIN 码

API 密钥与令牌

AWS 访问密钥（AKIA...）
GitHub 个人访问令牌（ghp*, gho*, ghu_）
Slack 令牌（xox[baprs]-）
Google API 密钥
Stripe API 密钥（sk live , pk live）
JWT 令牌
OAuth 令牌
Bearer 令牌

数据库与服务凭据

数据库连接字符串
MongoDB URI
PostgreSQL 连接字符串
MySQL 凭据
带密码的 Redis URL

云提供商密钥

AWS 秘密访问密钥
Azure 存储密钥
Google Cloud 服务账户密钥
Heroku API 密钥
DigitalOcean 访问令牌

通用模式

Base64 编码的密钥（可疑模式）
十六进制密钥（32+ 字符）
包含敏感键的环境变量赋值
包含凭据的配置文件

使用方法

基本扫描

扫描整个工作区以查找所有安全风险：

# 助手将：
# 1. 搜索常见的密钥模式
# 2. 检查硬编码的凭据
# 3. 识别可疑文件（例如，未在 .gitignore 中的 .env 文件）
# 4. 报告发现的问题，包括文件位置和行号

只需询问："运行安全扫描" 或 "检查是否存在暴露的密钥"

针对性扫描

您也可以请求特定扫描：

"扫描 API 密钥" - 专注于 API 密钥模式
"检查密码" - 查找密码模式
"查找 AWS 凭据" - 搜索 AWS 特定的密钥
"扫描数据库连接字符串" - 查找数据库凭据

自定义模式扫描

请求扫描特定模式：

"搜索匹配模式 X 的令牌"
"查找所有长度超过 40 个字符的 base64 编码字符串"

扫描流程

当您调用此技能时，助手将：

确定扫描范围
- 确定工作区边界
- 排除常见目录（node_modules, .git, vendor, dist, build）
- 遵循 .gitignore 模式
模式匹配
- 使用正则表达式模式查找敏感数据
- 使用 grep/ripgrep 检查文件内容
- 标记可疑的变量名和注释
上下文分析
- 检查周围代码以获取上下文
- 识别密钥是否位于测试文件中（风险较低）
- 检查文件是否被 git 跟踪
生成报告
- 列出所有发现的问题及其严重级别
- 提供文件路径和行号
- 建议修复步骤

检测到的模式示例

高风险

# ❌ 硬编码的 AWS 凭据
AWS_ACCESS_KEY_ID = "example"
AWS_SECRET_ACCESS_KEY = "example"

# ❌ 连接字符串中的数据库密码
DATABASE_URL = "postgresql://user:MyP@ssw0rd@localhost:5432/db"

# ❌ 私有 API 密钥
STRIPE_SECRET_KEY = "example"

中等风险

// ⚠️ 可疑的 base64 字符串
const token = "example";

// ⚠️ 硬编码的密码变量
let password = "example";

较低风险（但仍会被标记）

# ℹ️ 在测试文件或示例中
export TEST_API_KEY="test_abc123"

# ℹ️ 占位符模式
password = "YOUR_PASSWORD_HERE"

修复建议

对于每个发现的问题，助手将建议：

移至环境变量

# 不要硬编码：
API_KEY = "abc123"

# 使用：
API_KEY = os.getenv("API_KEY")

使用密钥管理
- HashiCorp Vault
- AWS Secrets Manager
- Azure Key Vault
- Google Secret Manager
更新 .gitignore
- 确保 .env 文件被忽略
- 为凭据文件添加模式
轮换已泄露的密钥
- 如果密钥在 git 历史记录中，请立即轮换它们
- 使用 git-secrets 或 truffleHog 等工具进行历史记录扫描
使用 Git 钩子
- 安装预提交钩子以防止提交密钥
- 工具：pre-commit, detect-secrets,

文件与目录

此技能使用的扫描脚本位于：

scripts/scan_secrets.sh - 主要扫描逻辑

排除项

扫描器自动排除：

node_modules/, vendor/, .git/
dist/, build/, target/
二进制文件和大数据文件
包含占位符凭据的测试夹具
包含示例凭据的文档（已标记为示例）

最佳实践

定期扫描：定期运行安全扫描，尤其是在提交之前
CI/CD 集成：将密钥扫描添加到您的 CI/CD 流水线中
开发者教育：确保团队了解不要提交密钥
密钥轮换：定期轮换凭据和 API 密钥
最小权限：为 API 密钥和令牌使用最小权限

限制

误报：可能会标记测试数据或示例 - 请自行判断
编码密钥：可能无法捕获所有混淆或加密的密钥
自定义模式：非常自定义的密钥格式可能无法检测到
性能：大型代码库可能需要较长时间扫描

安全须知

⚠️ 此技能仅扫描本地文件，不会将密钥传输到任何地方。 但是，发现的问题会显示在助手的输出中，因此在共享扫描结果时请谨慎。

开始使用

要运行您的第一次安全扫描，只需说：

"扫描我的工作区以查找安全风险"

助手将扫描您的工作区并提供发现的任何潜在安全问题的详细报告。

每周安装数

代码仓库

bizshuk/llm_plugin

首次出现

1970年1月1日

安全审计

Gen Agent Trust HubWarn SocketPass SnykFail

🇺🇸English

Security Scanner

This skill helps you identify potential security vulnerabilities in your workspace by scanning for hardcoded credentials, API keys, tokens, and other sensitive information that should not be committed to version control.

What It Scans For

The security scanner looks for common patterns of sensitive data:

Credentials & Authentication

Passwords (hardcoded, plaintext)
Usernames in authentication contexts
Private keys (RSA, SSH, PGP)
Authentication tokens
Session IDs
PIN codes

API Keys & Tokens

AWS Access Keys (AKIA...)
GitHub Personal Access Tokens (ghp*, gho*, ghu_)
Slack Tokens (xox[baprs]-)
Google API Keys
Stripe API Keys (sk live , pk live)
JWT tokens
OAuth tokens
Bearer tokens

Database & Service Credentials

Database connection strings
MongoDB URIs
PostgreSQL connection strings
MySQL credentials
Redis URLs with passwords

Cloud Provider Secrets

AWS Secret Access Keys
Azure Storage Keys
Google Cloud Service Account Keys
Heroku API Keys
DigitalOcean Access Tokens

Generic Patterns

Base64 encoded secrets (suspicious patterns)

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

安全扫描器 - 检测代码中硬编码凭据、API密钥等敏感信息的安全工具

🇨🇳中文介绍

安全扫描器

扫描内容

凭据与身份验证

API 密钥与令牌

数据库与服务凭据

云提供商密钥

通用模式

使用方法

基本扫描

针对性扫描

自定义模式扫描

扫描流程

检测到的模式示例

高风险

中等风险

较低风险（但仍会被标记）

修复建议

文件与目录

排除项

最佳实践

限制

安全须知

开始使用

🇺🇸English

Security Scanner

What It Scans For

Credentials & Authentication

API Keys & Tokens

Database & Service Credentials

Cloud Provider Secrets

Generic Patterns

相关 Skills

How to Use

Basic Scan

Targeted Scans

Custom Pattern Scan

Scan Process

Example Patterns Detected

High Severity

Medium Severity

Lower Risk (But Still Flagged)

Remediation Recommendations

Files and Directories

Exclusions

Best Practices

Limitations

Security Note

Getting Started

最新 Skills