OpenClaw
Sicherheit & SecretsEmpfohlen

ggshield Scanner Skill für OpenClaw

Repositories auf hartcodierte Secrets scannen (500+ Secret-Typen).

Zuletzt aktualisiert: 2026-03-11

Schnellinstallation

$ npx clawhub@latest install ggshield-scanner

Hauptfunktionen

Erkennung von über 500 hardcodierten Secret-Typen einschließlich API-Schlüssel, Tokens und privater Schlüssel
Scannen von Git-Repositories, Verzeichnissen, Docker-Images und PyPI-Paketen
Installation von Pre-Commit-Hooks zum Abfangen von Secrets vor dem Repository-Eintrag
Vollständige Repository-Historien-Scans zur Entdeckung zuvor committeter Secrets
Integration mit CI/CD-Pipelines für automatisierte Secret-Erkennung
Privacy-First-Scanning — Ihr Quellcode wird niemals auf externen Servern gespeichert

OpenClaw ggshield Scanner Skill Überblick

Der ggshield Scanner Skill bringt die leistungsstarke Secret-Erkennungs-Engine von GitGuardian in Ihren OpenClaw-Workflow. Anstatt sich ggshield-CLI-Flags und Ausgabeformate zu merken, können Sie OpenClaw in natürlicher Sprache bitten, Ihren Code nach geleakten Secrets zu scannen.

ggshield erkennt über 500 Typen hardcodierter Secrets — API-Schlüssel, Datenbank-Anmeldedaten, Cloud-Tokens, private Schlüssel und mehr. Der OpenClaw ggshield Scanner Skill verpackt diese Fähigkeiten in eine konversationelle Schnittstelle, die es einfach macht, Scans bei Bedarf auszuführen, Pre-Commit-Hooks einzurichten und Ergebnisse zu interpretieren, ohne Ihren Entwicklungsfluss zu verlassen.

Typischer Workflow:

  1. Bitten Sie OpenClaw, Ihr Projekt auf Secret-Leaks zu scannen.
  2. Der Agent führt ggshield secret scan gegen Ihre Codebasis oder spezifische Dateien aus.
  3. Die Ergebnisse werden in einer lesbaren Zusammenfassung zurückgegeben, die erkannte Secrets, deren Typen und Standorte hervorhebt — kein manuelles Parsen der CLI-Ausgabe erforderlich.

Ob Sie ein bestehendes Repository auditieren oder Secret-Scanning zu Ihrem Entwicklungsprozess hinzufügen, dieser Skill übernimmt die schwere Arbeit. Kombinieren Sie ihn mit dem 1Password Skill für einen vollständigen Secret-Management-Workflow.

Voraussetzungen für den ggshield Scanner Skill

Bevor Sie den ggshield Scanner Skill installieren, stellen Sie sicher, dass Sie haben:

  • OpenClaw installiert und laufend (v1.0+)
  • ggshield installiert — offizielle Installationsanleitung
  • Python 3.9+ (bei Installation über pip/pipx) oder Standalone-Pakete verwenden
  • Git installiert für Repository-Scanning
  • clawhub CLI installiert für Skill-Management — Installationsanleitung

Installieren Sie ggshield mit Ihrer bevorzugten Methode:

bash
# macOS (Homebrew)
brew install gitguardian/tap/ggshield

# Alle Plattformen (pipx — empfohlen)
pipx install ggshield

# Alle Plattformen (pip)
pip install --user ggshield

Überprüfen Sie Ihr Setup:

bash
ggshield --version

ggshield Scanner Skill installieren

Installieren Sie den ggshield Scanner Skill mit einem einzigen Befehl:

bash
npx clawhub@latest install ggshield-scanner

Zur Überprüfung der Installation:

bash
clawhub list

Sie sollten ggshield-scanner in Ihrer installierten Skill-Liste sehen. Der Skill erfordert, dass ggshield in Ihrem PATH verfügbar ist.

ggshield Scanner Skill Konfiguration

GitGuardian-Authentifizierung

Der ggshield Scanner Skill benötigt einen GitGuardian-API-Schlüssel für die Secret-Erkennung. Sie können sich auf zwei Arten authentifizieren:

Interaktives Login (empfohlen für lokale Entwicklung):

bash
ggshield auth login

Dies öffnet Ihren Browser und generiert automatisch ein persönliches Zugriffstoken (PAT).

Umgebungsvariable (empfohlen für CI/CD):

bash
export GITGUARDIAN_API_KEY="your-api-key-here"

Umgebungsvariablen-Setup

| Variable | Erforderlich | Beschreibung | |----------|-------------|--------------| | GITGUARDIAN_API_KEY | Ja | Persönliches Zugriffstoken von GitGuardian | | GITGUARDIAN_INSTANCE | Nein | URL der On-Premise GitGuardian-Instanz |

Wichtig: Hardcodieren Sie niemals Ihren API-Schlüssel in Konfigurationsdateien. Verwenden Sie Umgebungsvariablen oder einen Secret-Manager wie 1Password oder Bitwarden.

Pre-Commit-Hook-Einrichtung

Um Secrets vor dem Commit abzufangen:

bash
# Hook für aktuelles Repository installieren
ggshield install --mode local

# Hook global für alle Repositories installieren
ggshield install --mode global

ggshield Scanner Skill Anwendungsbeispiele

1. Projektverzeichnis nach Secrets scannen

Sie: „Scanne mein Projektverzeichnis nach hardcodierten Secrets"

Der Agent führt ggshield secret scan path -r . gegen Ihr Arbeitsverzeichnis aus und gibt eine Zusammenfassung erkannter Secrets zurück, einschließlich Dateipfad, Zeilennummer und Secret-Typ. Wenn keine Secrets gefunden werden, erhalten Sie einen sauberen Bericht, der bestätigt, dass Ihr Code sicher ist.

2. Git-Repository-Historie auditieren

Sie: „Überprüfe meine gesamte Git-Historie auf geleakte Secrets"

Der Agent führt ggshield secret scan repo . aus, um alle Commits in Ihrem Repository zu scannen. Dies ist nützlich für die Auditierung von Legacy-Codebasen oder um sicherzustellen, dass zuvor committete Secrets ordnungsgemäß rotiert und entfernt wurden.

3. Docker-Image vor dem Deployment scannen

Sie: „Scanne das Docker-Image nginx:latest nach Secrets"

Der Agent führt ggshield secret scan docker nginx:latest aus, um alle Schichten des Docker-Images zu inspizieren. Dies fängt Secrets ab, die möglicherweise während des Build-Prozesses in Container-Images eingebaut wurden — eine häufige Quelle für Credential-Leaks in der Produktion.

4. Pre-Commit-Schutz einrichten

Sie: „Installiere einen Pre-Commit-Hook, um Secrets am Committen zu hindern"

Der Agent führt ggshield install --mode local aus, um einen Git Pre-Commit-Hook zu Ihrem Repository hinzuzufügen. Jeder zukünftige Commit wird automatisch gescannt, und Commits mit erkannten Secrets werden blockiert, bevor sie Ihr Repository erreichen.

Sicherheit und Best Practices

Befolgen Sie diese Richtlinien bei der Verwendung des ggshield Scanner Skills:

  • Verwenden Sie standardmäßig Nur-Lese-Scans. Der Skill sollte nur scannen und berichten — vermeiden Sie Auto-Remediation ohne sorgfältige Überprüfung jedes Funds.
  • Überprüfen Sie vor der Bestätigung. Wenn der Agent vorschlägt, ein erkanntes Secret zu entfernen oder zu rotieren, verifizieren Sie, dass der Fund ein echter Treffer ist, bevor Sie handeln.
  • Rotieren Sie exponierte Secrets sofort. Wenn ggshield ein echtes Secret in Ihrer Repository-Historie erkennt, rotieren Sie die Anmeldedaten sofort — das Entfernen des Commits reicht nicht aus.
  • Aktivieren Sie Pre-Commit-Hooks. Prävention ist besser als Erkennung. Richten Sie Hooks mit ggshield install ein, um Secrets abzufangen, bevor sie in die Versionskontrolle gelangen.
  • Halten Sie ggshield aktuell. Neue Secret-Muster werden regelmäßig hinzugefügt. Führen Sie pipx upgrade ggshield oder brew upgrade ggshield aus, um auf dem neuesten Stand zu bleiben.

Häufige Fehler beheben

"Error: Invalid API key"

Ihr GitGuardian-API-Schlüssel fehlt oder ist abgelaufen. Authentifizieren Sie sich erneut mit ggshield auth login oder überprüfen Sie, ob Ihre GITGUARDIAN_API_KEY-Umgebungsvariable korrekt gesetzt ist. Prüfen Sie im GitGuardian-Dashboard, ob das Token widerrufen wurde.

"Error: ggshield command not found"

ggshield ist nicht installiert oder nicht in Ihrem PATH. Installieren Sie es mit pipx install ggshield oder brew install gitguardian/tap/ggshield. Bei Installation über pip stellen Sie sicher, dass Ihr Python-Skriptverzeichnis im PATH enthalten ist.

"Error: Docker is not available"

Docker-Image-Scanning erfordert einen laufenden Docker-Daemon. Starten Sie Docker Desktop oder den Docker-Service und versuchen Sie es erneut. Wenn Sie nur Quellcode scannen müssen, verwenden Sie stattdessen ggshield secret scan path oder ggshield secret scan repo.

Häufige Fragen

Ja. ggshield verwendet die GitGuardian-API zur Erkennung, aber Ihr tatsächlicher Quellcode und Ihre Dateien werden niemals auf GitGuardian-Servern gespeichert. Es werden nur Metadaten wie Scanzeit und Anfragegröße aufbewahrt. Der Scanprozess ist privacy-first konzipiert und eignet sich für proprietäre und sensible Codebasen.

ggshield erkennt über 500 Secret-Typen mit der GitGuardian-Erkennungs-Engine, die deutlich umfassender ist als git-secrets (regex-basiert, begrenzte Muster) oder truffleHog (entropie-basiert mit höheren Falsch-Positiv-Raten). ggshield unterstützt auch Docker-Image-Scanning und PyPI-Paket-Scanning, was die meisten Alternativen nicht bieten. Der [Guardrails](/skills/guardrails) Skill bietet ergänzende Richtliniendurchsetzung.

Ja. Setzen Sie die `GITGUARDIAN_API_KEY`-Umgebungsvariable in Ihrer CI/CD-Umgebung und führen Sie ggshield als Pipeline-Schritt aus. Der OpenClaw Skill eignet sich ideal für interaktives Entwicklungs-Scanning, während die direkte ggshield-CLI-Integration am besten für automatisierte Pipeline-Checks funktioniert. Beide verwenden dieselbe Erkennungs-Engine und denselben API-Schlüssel, sodass die Ergebnisse in allen Umgebungen konsistent sind.

Verwandte Skills

1Password CLI
Empfohlen

Secrets sicher über 1Password CLI (op) abrufen.

Anleitung ansehen
Bitwarden / Vaultwarden
Empfohlen

Secrets über Bitwarden/Vaultwarden CLI und API abrufen.

Anleitung ansehen
Guardrails
Empfohlen

Sicherheits-Guardrails für Tool-Nutzung und riskante Aktionen anwenden.

Auf ClawHub installierenZurück zum Skills-Verzeichnis