Escaneo de Secretos
El escaneo de secretos detecta credenciales, tokens, claves privadas y contraseñas hardcodeadas en tu código fuente e historial Git. Gerion utiliza Gitleaks como motor de detección.
Ejecutar
gerion secrets-scan [RUTA]# Escanear el directorio actualgerion secrets-scan .
# Guardar resultados como JSONgerion secrets-scan . --format json --output-file secrets.json
# Enviar resultados a la API de Geriongerion secrets-scan . --api-url $GERION_API_URL --api-key $GERION_API_KEYTipos de secretos detectados
Gitleaks incluye más de 150 reglas predefinidas:
| Categoría | Ejemplos |
|---|---|
| Cloud providers | AWS Access Keys, Google Cloud credentials, Azure secrets |
| Repositorios y CI/CD | GitHub tokens, GitLab tokens, CircleCI tokens |
| Comunicación | Slack tokens, Twilio, Mailgun, SendGrid |
| Pagos | Stripe keys, PayPal, Square |
| Bases de datos | Connection strings con credenciales embebidas |
| Criptografía | Claves privadas RSA/EC/SSH, certificados PEM |
| APIs genéricas | Bearer tokens, API keys con patrones comunes |
Redacción de secretos
Por seguridad, Gerion CLI nunca envía el secreto completo a la plataforma. El valor se redacta mostrando solo el 30% del contenido (inicio + final):
AWS_ACCESS_KEY_ID: AKIA****[REDACTED]****XAMPLEOpciones
| Opción | Descripción |
|---|---|
--format | Formato de salida: json | markdown | sarif |
--output-file | Guardar resultados en fichero (deshabilita envío a API) |
--api-url | URL del Gerion API Gateway |
--api-key | API key M2M |
--timeout | Timeout en segundos (defecto: 180) |
--log-level | debug | info | warning | error |