ghsec

ghsec是一个有观点的代码检查器（带修复），用于公共GitHub仓库的安全。它有助于诊断和修复由GitHub仓库设置通常过于开放而引起的潜在安全问题。

安装

从源码

cargo install --force --locked ghsec

使用 cargo-binstall

cargo binstall ghsec

用法

您需要一个具有对您的仓库管理员访问权限的个人访问令牌。目前，此工具仅与具有repo范围的经典令牌进行了测试。

# Provide a GitHub personal access token with admin access to your repositories
export GITHUB_TOKEN=ghp_.....

# Run the checks
ghsec

# Run the checks and fix the issues, if possible
ghsec --fix

# You can also specify repositories to check using a unix-style glob
ghsec 'workflows-*'

支持的检查

• branch_protections：检查分支保护设置
• code_review_limits：检查代码审查限制的账户设置
• default_workflow_permissions：使用“默认工作流程权限”的安全默认值
• fork_pull_request_workflows：检查公共分支的拉取请求工作流程运行设置
• repository_secrets：列出包含GitHub Actions机密的仓库

许可证

本项目采用MIT许可证。