-
Notifications
You must be signed in to change notification settings - Fork 0
Limitations and roadmap
No1se-pi edited this page Jul 10, 2026
·
1 revision
- Поддержка ориентирована на Linux и Debian-подобные системы.
- Поиск основан на регистрозависимых подстроках из
banwords. - Регулярные выражения и entropy detection пока не поддерживаются.
- Возможны ложные срабатывания и пропуски секретов.
- Анализируются только добавленные строки в staged diff.
- История Git и уже созданные коммиты не сканируются.
-
git commit --no-verifyобходит локальную защиту. - Git hooks не распространяются при клонировании репозитория.
- Custodes не объединяет свой вызов с существующим
pre-commithook. - Команда
removeудаляет текущийpre-commitцеликом, поэтому перед подтверждением нужно проверить его содержимое. - Глобальный
uninstallне удаляет hooks из ранее подключённых репозиториев.
Планируемые направления развития:
- regex-правила для известных форматов токенов и ключей;
- entropy detection для случайных секретов;
- allowlist для файлов, строк и значений;
- вывод номеров строк;
- более точная обработка Git diff и бинарных файлов;
- безопасное объединение с существующими hooks;
- улучшение update и uninstall;
- поддержка Windows;
- упаковка в единый исполняемый файл;
- интеграция с CI/CD;
- тесты для CLI и сканера.
Custodes не гарантирует обнаружение каждого секрета. Даже после успешной проверки перед коммитом рекомендуется:
- не хранить секреты в исходном коде;
- использовать переменные окружения или secret manager;
- добавить
.envи локальные конфиги в.gitignore; - включить secret scanning на стороне GitHub или CI;
- отозвать и заменить секрет сразу после возможной утечки.
Предложения и сообщения об ошибках можно создавать в разделе Issues.