揪出程式碼裡硬編碼的金鑰
把 API key、密碼和令牌留在原始碼裡,是憑據洩露最常見的方式之一。掃描你的程式碼,在它們上線前標出硬編碼金鑰。
原始碼裡的金鑰,距離永久公開只差一次 git push。哪怕是私有倉庫,也會被克隆、fork 或不小心設為公開——而一旦 key 進了提交歷史,輪換它就是唯一真正的解法。
這個掃描會讀你的程式碼,標出形似被提交憑據的寫法:躺在原始碼裡、而不是放在環境變數或金鑰管理器裡的 API key、密碼、令牌和連線串。它會指出它們在哪,方便你把它們抽出來。
它是啟發式檢查,能抓住洩露金鑰的常見形態,但不能替代 CI 裡專門的金鑰掃描器或完整安全評審。把它當程式碼離開你機器前的一道快速關卡,並輪換它找到的任何已上線的金鑰。
對應工具
🛡️程式碼安全審計
上線前安全快掃 —— 注入、硬編碼金鑰、鑑權問題,附修復。
常見問題
硬編碼金鑰為什麼危險? +
一旦 key 進了原始碼或 git 歷史就會永久洩露——哪怕私有倉庫也會被克隆或暴露。輪換它就成了唯一真正的解法。
找到的金鑰該怎麼處理? +
把它們移到環境變數或金鑰管理器,並輪換任何已推到遠端倉庫的憑據。
這能替代 CI 的金鑰掃描器嗎? +
不能——它是上線前的快速啟發式檢查。要持續覆蓋,還應在流水線裡跑專門的金鑰掃描器。