Skip to content

Limitations and roadmap

No1se-pi edited this page Jul 10, 2026 · 1 revision

Ограничения и планы

Текущие ограничения

  • Поддержка ориентирована на Linux и Debian-подобные системы.
  • Поиск основан на регистрозависимых подстроках из banwords.
  • Регулярные выражения и entropy detection пока не поддерживаются.
  • Возможны ложные срабатывания и пропуски секретов.
  • Анализируются только добавленные строки в staged diff.
  • История Git и уже созданные коммиты не сканируются.
  • git commit --no-verify обходит локальную защиту.
  • Git hooks не распространяются при клонировании репозитория.
  • Custodes не объединяет свой вызов с существующим pre-commit hook.
  • Команда remove удаляет текущий pre-commit целиком, поэтому перед подтверждением нужно проверить его содержимое.
  • Глобальный uninstall не удаляет hooks из ранее подключённых репозиториев.

Roadmap

Планируемые направления развития:

  • regex-правила для известных форматов токенов и ключей;
  • entropy detection для случайных секретов;
  • allowlist для файлов, строк и значений;
  • вывод номеров строк;
  • более точная обработка Git diff и бинарных файлов;
  • безопасное объединение с существующими hooks;
  • улучшение update и uninstall;
  • поддержка Windows;
  • упаковка в единый исполняемый файл;
  • интеграция с CI/CD;
  • тесты для CLI и сканера.

Что не входит в гарантии

Custodes не гарантирует обнаружение каждого секрета. Даже после успешной проверки перед коммитом рекомендуется:

  • не хранить секреты в исходном коде;
  • использовать переменные окружения или secret manager;
  • добавить .env и локальные конфиги в .gitignore;
  • включить secret scanning на стороне GitHub или CI;
  • отозвать и заменить секрет сразу после возможной утечки.

Предложения и сообщения об ошибках можно создавать в разделе Issues.

Clone this wiki locally