gitleakguard

One-command Git secret protection for vibe coders.

Protejează-ți commit-urile de credențiale expuse (API keys, tokens, parole) cu un hook pre-commit automat și integrare opțională cu Keeper Secret Manager.

$ npx gitleakguard init

  gitleakguard Setup

▶ Installing pre-commit hook
✓ Pre-commit hook installed → .git/hooks/pre-commit

▶ Configuring .gitignore
✓ .gitignore updated (5 entries added)

▶ Creating .env template
✓ .env.example created

✓ gitleakguard is active. Your next commit will be scanned automatically.

---

Ce face

Funcție	Descriere
Pre-commit hook	Blochează commit-ul dacă detectează credențiale
History scanner	Scanează retroactiv tot istoricul git
AI Editor Skill	/gitleakguard slash command în Claude Code, Cursor, Windsurf
Docker	Rulează în orice CI/CD fără instalare locală
Keeper integration	Stochează cheile SSH în vault pentru semnare commit-uri
Auto-remediation	Oferă pași exacți + prompt gata pentru orice AI editor

---

Instalare rapidă

AI Editor Skill (Claude Code, Cursor, Windsurf, Copilot)

npx skills add podutpetru/gitleakguard

Instalează skill-ul în orice editor AI care suportă formatul Vercel Skills. Activează /gitleakguard ca slash command în Claude Code, Cursor Agent etc.

macOS / Linux / WSL

curl -fsSL https://raw.githubusercontent.com/podutpetru/gitleakguard/main/install.sh | sh

Windows (PowerShell)

irm https://raw.githubusercontent.com/podutpetru/gitleakguard/main/install.ps1 | iex

Docker

# Scanează staged files din repo-ul curent
docker run --rm -v "$(pwd):/repo" podutpetru/gitleakguard scan

# Scanează tot istoricul git
docker run --rm -v "$(pwd):/repo" podutpetru/gitleakguard history

# Setup (instalează hook-ul în repo-ul montat)
docker run --rm -v "$(pwd):/repo" podutpetru/gitleakguard init

Image: podutpetru/gitleakguard — node:18-alpine + git, ~50MB

npm / npx

# Fără instalare:
npx gitleakguard init

# Global:
npm install -g gitleakguard
gitleakguard init

Manual (clone)

git clone https://github.com/podutpetru/gitleakguard.git .gitleakguard
cd .gitleakguard
node cli.js init

---

Opțiuni instalare

# Doar hook-ul (fără skills AI editors)
curl -fsSL https://raw.githubusercontent.com/podutpetru/gitleakguard/main/install.sh | sh -s -- --hook-only

# Fără skills globale (Claude, Cursor, Gemini CLI)
curl -fsSL https://raw.githubusercontent.com/podutpetru/gitleakguard/main/install.sh | sh -s -- --no-editor-skills

# Windows — doar hook
irm https://raw.githubusercontent.com/podutpetru/gitleakguard/main/install.ps1 | iex -HookOnly

---

Comenzi

gitleakguard init      # Setup complet (hook + gitignore + Keeper opțional)
gitleakguard scan      # Scanează manual fișierele staged
gitleakguard history   # Scanează tot istoricul git pentru secrete expuse
gitleakguard help      # Afișează ajutor

---

Cum funcționează hook-ul

La fiecare git commit, hook-ul rulează automat și verifică fișierele staged:

$ git commit -m "add openai integration"
gitleakguard — scanning staged files for secrets...

✖  Commit blocked — 1 secret(s) detected:

  ● OpenAI API Key
    File: src/api.js:14
    Preview: const apiKey = "sk-proj-abc123...";

How to fix:
  1. Move the secret to a .env file
  2. Add .env to .gitignore
  3. Replace the value with process.env.YOUR_KEY in code
  4. Revoke and rotate the exposed credential

AI prompt to fix automatically:
  "Find all hardcoded credentials and move them to .env,
   replacing with process.env.VARIABLE_NAME"

To bypass (not recommended): LEAKGUARD_BYPASS=1 git commit ...

---

Credențiale detectate

Tip	Pattern
AWS Access Key	AKIA + 16 chars
GitHub Token	ghp_..., github_pat_...
OpenAI API Key	sk-[48+ chars], sk-proj-...
Anthropic API Key	sk-ant-api03-...
Google API Key	AIza + 35 chars
Stripe Keys	sk_live_..., sk_test_...
Slack Tokens	xoxb-...
Private Keys	-----BEGIN PRIVATE KEY-----
JWT Tokens	eyJ... cu 3 segmente
URL cu parolă	scheme://user:pass@host
Variabile generice	password = "...", api_key = "..."

---

Docker — pentru CI/CD

Imaginea Docker e utilă în pipeline-uri automate unde nu vrei să instalezi Node.js. Nu e un MCP server — pentru integrarea cu AI editors folosește skill-ul de mai jos.

Image: podutpetru/gitleakguard

GitHub Actions

- name: Scan for secrets
  run: |
    docker run --rm -v "${{ github.workspace }}:/repo" podutpetru/gitleakguard scan

GitLab CI

scan-secrets:
  image: podutpetru/gitleakguard
  script:
    - gitleakguard scan
  variables:
    GIT_STRATEGY: fetch

Linie de comandă

# Scan staged files
docker run --rm -v "$(pwd):/repo" podutpetru/gitleakguard scan

# Scan git history
docker run --rm -v "$(pwd):/repo" podutpetru/gitleakguard history

---

AI Editor Skill — npx skills add

Cel mai simplu mod de a instala skill-ul în orice editor AI compatibil:

npx skills add podutpetru/gitleakguard

Sau explicit:

npx skills add podutpetru/gitleakguard --skill gitleakguard

Skill-ul se instalează automat în directorul potrivit pentru editorul detectat. Activează slash command-ul /gitleakguard cu 4 moduri:

Comandă	Ce face
/gitleakguard init	Setup complet în repo-ul curent
/gitleakguard scan	Scanează staged files pentru secrete
/gitleakguard history	Scanează tot istoricul git
/gitleakguard fix	Ghid pas cu pas pentru un credential deja expus

---

Integrare în medii de dezvoltare

install.sh / install.ps1 instalează automat:

• CLAUDE.md — Claude Code (activ automat)
• GEMINI.md — Gemini CLI + Antigravity (activ automat)
• .cursor/rules/gitleakguard.mdc — Cursor (alwaysApply: true)
• .vscode/tasks.json — VSCode tasks

Și global:

• ~/.claude/commands/gitleakguard.md → /gitleakguard în Claude Code
• ~/.cursor/skills/gitleakguard/ → /gitleakguard în Cursor Agent

Claude Code

mkdir -p ~/.claude/commands
curl -fsSL https://raw.githubusercontent.com/podutpetru/gitleakguard/main/.claude/commands/gitleakguard.md \
  > ~/.claude/commands/gitleakguard.md

Utilizare: /gitleakguard scan, /gitleakguard fix, /gitleakguard history

Cursor

Instalare skill (slash command /gitleakguard în Agent mode):

npx skills add podut/gitleakguard

Sau manual — regulă always-on per proiect:

mkdir -p .cursor/rules
curl -fsSL https://raw.githubusercontent.com/podutpetru/gitleakguard/main/templates/cursor-rule.mdc \
  > .cursor/rules/gitleakguard.mdc

Utilizare:

• Deschide Cursor → panel Agent (Ctrl+L) → mod Agent
• Tastează /gitleakguard → apar comenzile în autocomplete
• Regula alwaysApply: true e activă automat — Cursor nu va scrie niciodată credențiale hardcodate

Gemini CLI / Antigravity

Instalare Gemini CLI (dacă nu îl ai):

npm install -g @google/gemini-cli
gemini auth login

Instalare skill:

npx skills add podut/gitleakguard

Sau manual — adaugă regulile în proiect:

curl -fsSL https://raw.githubusercontent.com/podutpetru/gitleakguard/main/templates/GEMINI.md >> GEMINI.md

Utilizare:

gemini          # deschide Gemini CLI
/gitleakguard scan
/gitleakguard history
/gitleakguard fix

VSCode

Tasks instalate automat. Ctrl+Shift+P → Run Task → gitleakguard.

Suport pentru orice AI editor

Editor	Fișier instrucțiuni
Claude Code	CLAUDE.md
Gemini CLI / Antigravity	GEMINI.md
Cursor	.cursor/rules/gitleakguard.mdc
GitHub Copilot	.github/copilot-instructions.md
Windsurf	.windsurf/rules/gitleakguard.md
Aider	.aider.conf.yml → system-prompt:
Continue.dev	.continuerc.json → systemMessage:

---

Integrare Keeper Secret Manager

gitleakguard init
# → alege "y" la "Set up Keeper SSH signing?"

Stochează cheile SSH în Keeper Vault și le folosește pentru semnarea commit-urilor.

---

Scanare istorică și remediere

# Scanează tot istoricul
gitleakguard history

# Curăță istoricul (necesită git-filter-repo)
pip install git-filter-repo
git filter-repo --invert-paths --path src/config.ts
git push --force-with-lease

Dacă repo-ul e public: rotește imediat orice credential găsit — ștergerea din istoric nu e suficientă.

---

Structura proiectului

gitleakguard/
├── cli.js                    # Entry point: gitleakguard <command>
├── package.json
├── Dockerfile                # Docker image
├── install.sh                # Installer POSIX
├── install.ps1               # Installer Windows
├── scanners/secrets.js       # Regex patterns pentru 15+ tipuri de credențiale
├── hooks/pre-commit          # Hook instalat în .git/hooks/pre-commit
├── setup/init.js             # Setup interactiv one-command
├── setup/scan-history.js     # Scanner retroactiv git history
├── integrations/keeper.js    # Keeper Secret Manager wrapper
├── templates/
│   ├── CLAUDE.md             # Template instrucțiuni Claude Code
│   ├── GEMINI.md             # Template instrucțiuni Gemini CLI
│   └── cursor-rule.mdc       # Template regulă Cursor
└── .vscode/tasks.json        # VSCode tasks

---

FAQ

Q: Cum bypass-uiesc hook-ul?

LEAKGUARD_BYPASS=1 git commit -m "message"

Q: Hook-ul blochează .env.example? Nu — .env.example, .env.template, node_modules/ sunt excluse automat.

Q: Funcționează pe Windows? Da — Node.js ≥ 18 pe orice platformă. Sau folosește Docker.

Q: Pot adăuga pattern-uri proprii?

// scanners/secrets.js
{ name: "My Pattern", regex: /your-regex/g },

---

Licență

MIT — folosește, modifică, distribuie liber.