Vom Leak zur Policy: Gitleaks als Baustein für Secret-Security nicht nur auf dem Raspberry Pi

Gitleaks ist ein Open-Source-Tool, mit dem sich hartkodierte Secrets wie Passwörter, API-Keys oder Tokens in Git-Repositories und beliebigen Verzeichnissen unter Linux (ua.) automatisiert aufspüren lassen. Durch seine konfigurierbaren Regeln und die Integration in lokale Workflows oder CI/CD-Pipelines eignet es sich sowohl für Pentester als auch für Entwicklungsteams, die ihre Codebasis systematisch auf Leaks prüfen wollen.

Einordnung und Sicherheitskontext

-Gitleaks gehört zur Klasse der SAST-Werkzeuge, die Quellcode statisch auf verräterische Muster wie Schlüssel, Tokens oder Zugangsdaten durchsuchen.

-Das Tool unterstützt inzwischen über 160 Secret-Typen und kombiniert reguläre Ausdrücke mit Entropie-Heuristiken, um Zufallsstrings mit hoher Aussagekraft zu erkennen.

-Typische Einsatzszenarien sind Security-Audits, Pentests von fremden Repositories sowie das Absichern der eigenen Git-Historie inklusive älterer Commits vor versehentlich eingecheckten Geheimnissen.
Installation unter Linux

Unter Debian/Ubuntu und anderen gängigen Distributionen lässt sich Gitleaks direkt über den Paketmanager installieren. Alternativ kann das aktuelle Release als Binary von GitHub bezogen werden.

Installation auf einem Rapberry Pi ist schnell gemacht:

Debian/Ubuntu und Derivate:

sudo apt update && sudo apt install gitleaks 

Die Version ist aber nicht so aktuell, deshalb besser das aktuelle Binary laden und installieren:

Dann mal der 1. Scann, in meinem Home Verzeichnis. Das Ergebeniss soll in eine Datei im Json-Format geschrieben werden:

gitleaks dir . -f json -r gitleaks-report.json

Nach ein paar Minuten kann das Ergebnis auf der Konsole ausgegeben werden:

cat gitleaks-report.json

Oder nur die Beschreibung und der Fundort mit jq:

jq -r ‚.[] | „\(.File) ——> \(.Description)“‚ gitleaks-report.json

Liefert bei mir (fake) ua.

Weitere Infos unter: gitleaks -v oder hier.

Download gitleaks.pdf.