OpenClaw
Sécurité & SecretsRecommandé

Skill ggshield Scanner pour OpenClaw

Scanner les dépôts à la recherche de secrets codés en dur (500+ types).

Dernière mise à jour: 2026-03-11

Installation Rapide

$ npx clawhub@latest install ggshield-scanner

Fonctionnalités Clés

Détection de plus de 500 types de secrets hardcodés incluant clés API, tokens et clés privées
Scan de dépôts Git, répertoires, images Docker et paquets PyPI
Installation de hooks pre-commit pour intercepter les secrets avant qu'ils n'atteignent le dépôt
Scans complets de l'historique du dépôt pour découvrir les secrets précédemment committés
Intégration avec les pipelines CI/CD pour une détection automatisée des secrets
Scan privacy-first — votre code source n'est jamais stocké sur des serveurs externes

Aperçu du Skill ggshield Scanner d'OpenClaw

Le skill ggshield Scanner intègre le puissant moteur de détection de secrets de GitGuardian dans votre workflow OpenClaw. Au lieu de mémoriser les flags CLI de ggshield et les formats de sortie, vous pouvez demander à OpenClaw de scanner votre code à la recherche de secrets divulgués en langage naturel.

ggshield détecte plus de 500 types de secrets hardcodés — clés API, identifiants de bases de données, tokens cloud, clés privées et plus encore. Le skill OpenClaw ggshield scanner encapsule ces capacités dans une interface conversationnelle, facilitant l'exécution de scans à la demande, la configuration de hooks pre-commit et l'interprétation des résultats sans quitter votre flux de développement.

Workflow typique :

  1. Demandez à OpenClaw de scanner votre projet pour détecter les fuites de secrets.
  2. L'agent exécute ggshield secret scan sur votre base de code ou des fichiers spécifiques.
  3. Les résultats sont retournés dans un résumé lisible mettant en évidence les secrets détectés, leurs types et emplacements — pas besoin d'analyser la sortie brute du CLI.

Que vous auditiez un dépôt existant ou ajoutiez le scan de secrets à votre processus de développement, ce skill gère le gros du travail. Combinez-le avec le skill 1Password pour un workflow complet de gestion des secrets.

Prérequis pour le Skill ggshield Scanner

Avant d'installer le skill ggshield Scanner, assurez-vous d'avoir :

  • OpenClaw installé et en cours d'exécution (v1.0+)
  • ggshield installé — guide d'installation officiel
  • Python 3.9+ (si installation via pip/pipx) ou utiliser les paquets autonomes
  • Git installé pour le scan de dépôts
  • clawhub CLI installé pour la gestion des skills — guide d'installation

Installez ggshield avec votre méthode préférée :

bash
# macOS (Homebrew)
brew install gitguardian/tap/ggshield

# Toutes plateformes (pipx — recommandé)
pipx install ggshield

# Toutes plateformes (pip)
pip install --user ggshield

Vérifiez votre configuration :

bash
ggshield --version

Comment Installer le Skill ggshield Scanner

Installez le skill ggshield Scanner avec une seule commande :

bash
npx clawhub@latest install ggshield-scanner

Pour vérifier l'installation :

bash
clawhub list

Vous devriez voir ggshield-scanner dans votre liste de skills installés. Le skill nécessite que ggshield soit disponible dans votre PATH.

Configuration du Skill ggshield Scanner

Authentification GitGuardian

Le skill ggshield Scanner nécessite une clé API GitGuardian pour la détection de secrets. Vous pouvez vous authentifier de deux façons :

Connexion interactive (recommandé pour le développement local) :

bash
ggshield auth login

Cela ouvre votre navigateur et génère automatiquement un token d'accès personnel (PAT).

Variable d'environnement (recommandé pour CI/CD) :

bash
export GITGUARDIAN_API_KEY="your-api-key-here"

Configuration des Variables d'Environnement

| Variable | Requise | Description | |----------|---------|-------------| | GITGUARDIAN_API_KEY | Oui | Token d'accès personnel GitGuardian | | GITGUARDIAN_INSTANCE | Non | URL de l'instance GitGuardian on-premise |

Important : Ne hardcodez jamais votre clé API dans les fichiers de configuration. Utilisez des variables d'environnement ou un gestionnaire de secrets comme 1Password ou Bitwarden.

Configuration du Hook Pre-commit

Pour intercepter les secrets avant qu'ils ne soient committés :

bash
# Installer le hook pour le dépôt actuel
ggshield install --mode local

# Installer le hook globalement pour tous les dépôts
ggshield install --mode global

Exemples d'Utilisation du Skill ggshield Scanner

1. Scanner un Répertoire de Projet

Vous : « Scanne mon répertoire de projet à la recherche de secrets hardcodés »

L'agent exécute ggshield secret scan path -r . sur votre répertoire de travail et retourne un résumé des secrets détectés, incluant le chemin du fichier, le numéro de ligne et le type de secret. Si aucun secret n'est trouvé, vous recevez un rapport propre confirmant que votre code est sûr.

2. Auditer l'Historique du Dépôt Git

Vous : « Vérifie tout mon historique git pour détecter des secrets divulgués »

L'agent exécute ggshield secret scan repo . pour scanner tous les commits de votre dépôt. C'est utile pour auditer des bases de code legacy ou s'assurer que les secrets précédemment committés ont été correctement rotés et supprimés.

3. Scanner une Image Docker Avant le Déploiement

Vous : « Scanne l'image Docker nginx:latest à la recherche de secrets »

L'agent exécute ggshield secret scan docker nginx:latest pour inspecter toutes les couches de l'image Docker. Cela capture les secrets qui ont pu être intégrés dans les images de conteneurs pendant le processus de build — une source courante de fuites d'identifiants en production.

4. Configurer la Protection Pre-commit

Vous : « Installe un hook pre-commit pour bloquer les secrets d'être committés »

L'agent exécute ggshield install --mode local pour ajouter un hook git pre-commit à votre dépôt. Chaque futur commit sera automatiquement scanné, et les commits contenant des secrets détectés seront bloqués avant d'atteindre votre dépôt.

Sécurité et Bonnes Pratiques

Suivez ces directives lors de l'utilisation du skill ggshield Scanner :

  • Utilisez les scans en lecture seule par défaut. Le skill ne devrait que scanner et rapporter — évitez l'auto-remédiation sans examiner soigneusement chaque découverte.
  • Vérifiez avant de confirmer. Quand l'agent suggère de supprimer ou roter un secret détecté, vérifiez que la découverte est un vrai positif avant d'agir.
  • Rotez les secrets exposés immédiatement. Si ggshield détecte un vrai secret dans l'historique de votre dépôt, rotez l'identifiant immédiatement — supprimer le commit ne suffit pas.
  • Activez les hooks pre-commit. La prévention vaut mieux que la détection. Configurez les hooks avec ggshield install pour capturer les secrets avant qu'ils n'entrent dans le contrôle de version.
  • Gardez ggshield à jour. De nouveaux patterns de secrets sont ajoutés régulièrement. Exécutez pipx upgrade ggshield ou brew upgrade ggshield pour rester à jour.

Résolution des Erreurs Courantes

"Error: Invalid API key"

Votre clé API GitGuardian est manquante ou expirée. Ré-authentifiez-vous avec ggshield auth login ou vérifiez que votre variable d'environnement GITGUARDIAN_API_KEY est correctement définie. Vérifiez dans le tableau de bord GitGuardian que le token n'a pas été révoqué.

"Error: ggshield command not found"

ggshield n'est pas installé ou n'est pas dans votre PATH. Installez-le avec pipx install ggshield ou brew install gitguardian/tap/ggshield. Si installé via pip, assurez-vous que le répertoire des scripts Python est dans votre PATH.

"Error: Docker is not available"

Le scan d'images Docker nécessite un daemon Docker en cours d'exécution. Démarrez Docker Desktop ou le service Docker, puis réessayez. Si vous n'avez besoin de scanner que du code source, utilisez ggshield secret scan path ou ggshield secret scan repo à la place.

Questions Fréquentes

Oui. ggshield utilise l'API GitGuardian pour la détection, mais votre code source réel et vos fichiers ne sont jamais stockés sur les serveurs GitGuardian. Seules les métadonnées comme le temps de scan et la taille de la requête sont conservées. Le processus de scan est conçu privacy-first, ce qui le rend adapté aux bases de code propriétaires et sensibles.

ggshield détecte plus de 500 types de secrets grâce au moteur de détection de GitGuardian, qui est nettement plus complet que git-secrets (basé sur les regex, patterns limités) ou truffleHog (basé sur l'entropie avec des taux de faux positifs plus élevés). ggshield prend également en charge le scan d'images Docker et de paquets PyPI, ce que la plupart des alternatives n'offrent pas. Le skill [Guardrails](/skills/guardrails) fournit une application complémentaire des politiques.

Oui. Définissez la variable d'environnement `GITGUARDIAN_API_KEY` dans votre environnement CI/CD et exécutez ggshield comme étape de pipeline. Le skill OpenClaw est idéal pour le scan interactif pendant le développement, tandis que l'intégration directe du CLI ggshield fonctionne mieux pour les vérifications automatisées de pipeline. Les deux utilisent le même moteur de détection et la même clé API, donc les résultats sont cohérents dans tous les environnements.

Skills Associés

1Password CLI
Recommandé

Récupérer des secrets en toute sécurité via 1Password CLI (op).

Voir le Guide
Bitwarden / Vaultwarden
Recommandé

Accéder aux secrets via Bitwarden/Vaultwarden CLI et API.

Voir le Guide
Guardrails
Recommandé

Appliquer des garde-fous de sécurité sur l'utilisation d'outils et actions risquées.

Installer sur ClawHubRetour au Répertoire des Skills