Säkerhetskontroll

Läckta secrets i GitHub: hitta dem innan någon annan gör det

En bortglömd API-nyckel i en gammal commit är fortfarande giltig och sökbar. Vi skannar dina repon — inklusive git-historiken — efter läckta secrets och visar exakt var de finns.

Kör gratis domänscan Alla kontroller →
Berör: NIS2 · art. 21 — hantering av sårbarheter ISO 27001 · A.8.24 kryptering / A.5.17 autentiseringsinfo PCI DSS · krav 8

Vad kontrolleras?

Vi skannar dina repon med regel- och entropibaserad detektering efter API-nycklar, molncredentials, privata nycklar, tokens och lösenord — inte bara i nuvarande kod utan genom hela git-historiken där de flesta läckor gömmer sig.

Varför spelar det roll?

Att ta bort en nyckel ur den senaste commiten hjälper inte — den ligger kvar i historiken och är giltig tills den roteras. Läckta credentials är en av de vanligaste initiala angreppsvägarna, och ett uttryckligt krav i PCI DSS och ISO 27001.

Hur Security Guru testar det

Vanliga fel

  • Tro att git rm tar bort nyckeln — den är kvar i historiken
  • .env incheckad tidigt och sedan gitignore:ad — läckan finns i historiken
  • Ingen secrets-scanning i CI, så nya läckor upptäcks aldrig
  • Publik fork av ett privat repo som bär med sig historiken

Vad du får i rapporten

  • Varje fynd med repo, fil, commit och nyckeltyp (värdet redakteras)
  • Om nyckeln finns i historiken och behöver roteras
  • Prioriterad åtgärdslista: rotera först, scrubba historik sedan
  • Rekommendation för secrets-grind i CI framåt

Vanliga frågor

Sparar ni våra secrets?

Nej. Vi rapporterar plats och typ; själva värdet redakteras och lagras aldrig i klartext.

Räcker det att scrubba historiken?

Nej — en läckt nyckel måste roteras (den kan redan vara kopierad). Historik-scrubbning tar bort exponeringen framåt, men rotationen är den riktiga saneringen.

Kör det lokalt?

Skanningen kan köras self-hosted så att ingen kod lämnar er miljö.

Vill du veta din status?

Kör en gratis scan eller beställ en full Security Assessment — prioriterat, inte brus.

Kör gratis domänscan