Skip to content

security: pre-commit に gitleaks、CI に TruffleHog verified スキャンを PR ゲート化 #21

Description

@shigel

Priority

HIGH

背景

多層検出が推奨ベストプラクティス。(1) pre-commit: gitleaks(regex 高速、数ミリ秒)でローカル時点ブロック、(2) CI: TruffleHog verified(クレデンシャル生存確認付き、誤検知低減)を PR マージゲートに。GitGuardian 2025 の「AI エージェントで漏洩率 2x」はコミット時点の検出がボトルネック。

現状(未検証 — 実装着手前に要確認)

  • `.pre-commit-config.yaml` の有無・内容 未検証
  • `.github/workflows/ci.yml:32` で `secrets.ANTHROPIC_API_KEY` 使用(CI は存在)
  • 未検証: secret scan ステップが CI workflow に既に組み込まれているか
  • 未検証: 履歴スイープ(git history 全体のスキャン)が行われているか

提案

  • `.pre-commit-config.yaml` に gitleaks を追加
  • `.github/workflows/security.yml` を新設し TruffleHog verified を PR で実行
  • 定期 workflow で履歴全体をスキャン(週次 cron)
  • 検出時の対応手順を SECURITY.md に記載(rotate → history rewrite → force-push は要承認)

完了条件

  • pre-commit 設定
  • CI workflow (secret scan job)
  • 履歴スイープ cron
  • README に pre-commit 導入手順
  • 既存履歴のクリーンスキャン完了

参考

Part of #17

Metadata

Metadata

Assignees

No one assigned

    Labels

    securityセキュリティ関連の issue / PR

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions