揪出代码里硬编码的密钥
把 API key、密码和令牌留在源码里,是凭据泄露最常见的方式之一。扫描你的代码,在它们上线前标出硬编码密钥。
源码里的密钥,距离永久公开只差一次 git push。哪怕是私有仓库,也会被克隆、fork 或不小心设为公开——而一旦 key 进了提交历史,轮换它就是唯一真正的解法。
这个扫描会读你的代码,标出形似被提交凭据的写法:躺在源码里、而不是放在环境变量或密钥管理器里的 API key、密码、令牌和连接串。它会指出它们在哪,方便你把它们抽出来。
它是启发式检查,能抓住泄露密钥的常见形态,但不能替代 CI 里专门的密钥扫描器或完整安全评审。把它当代码离开你机器前的一道快速关卡,并轮换它找到的任何已上线的密钥。
对应工具
🛡️代码安全审计
上线前安全快扫 —— 注入、硬编码密钥、鉴权问题,附修复。
常见问题
硬编码密钥为什么危险? +
一旦 key 进了源码或 git 历史就会永久泄露——哪怕私有仓库也会被克隆或暴露。轮换它就成了唯一真正的解法。
找到的密钥该怎么处理? +
把它们移到环境变量或密钥管理器,并轮换任何已推到远程仓库的凭据。
这能替代 CI 的密钥扫描器吗? +
不能——它是上线前的快速启发式检查。要持续覆盖,还应在流水线里跑专门的密钥扫描器。