Secret & Credential Detection

Détectez les identifiants exposés dans votre code et l'historique git.

Supprimer un secret de votre base de code ne le retire pas de l'historique git. Lumstep utilise Kingfisher pour analyser à la fois votre arbre de travail et chaque commit de l'historique de votre dépôt - y compris les fichiers supprimés depuis longtemps. Il détecte les clés API, tokens OAuth, clés privées, mots de passe, chaînes de connexion et secrets CI/CD selon plus de 200 patterns de services, et valide si chaque identifiant est encore actif quand l'API du fournisseur le permet.

Clé d'accès AWS dans infra/deploy.shCritical
AKIA••••••••EXAMPLE · ligne 47 · encore active
Token personnel GitHub dans scripts/ci.shHigh
trouvé 312 commits en arrière · signalé 2 min après le push

Secret & Credential Detection

Comment fonctionne la détection de secrets Lumstep

Lumstep analyse votre code actuel et l'intégralité de l'historique git - sans aucune configuration de votre part.

Périmètre du scan
Arbre de travailÉtat actuel de chaque fichier
Scanné
Historique gitChaque commit, chaque branche
Scanné
Fichiers supprimésToujours présents dans l'historique
Scanné
Configuration requiseAucune →
À chaque push

Scan de l'historique complet

Kingfisher parcourt tout votre historique git à chaque scan - chaque commit, chaque branche, y compris les fichiers supprimés - et vérifie la présence d'identifiants correspondant à plus de 200 patterns spécifiques aux services.

Clé secrète Stripe dans .env.exampleCritical
sk_live_•••• · commité il y a 2 ans · supprimé depuis
URL de webhook Slack dans notify.pyHigh
hooks.slack.com/services/•••• · ligne 12
Automatique

Validation en temps réel

Pour les fournisseurs disposant d'un endpoint de validation, Lumstep teste chaque identifiant détecté pour déterminer s'il est encore actif ou déjà révoqué.

Vérifications de validité en temps réel
Clé d'accès AWSTestée contre STS
Encore active
Token GitHubTesté contre l'API GitHub
Déjà révoqué
Fournisseurs supportésAWS, GitHub, Stripe, Slack, GCP →
Instantané

Rapport précis

Chaque résultat est signalé avec le fichier exact, la ligne, le hash de commit et le type d'identifiant. Votre équipe reçoit des informations exploitables, pas une liste de cas douteux.

Contenu du rapport
Fichier & ligneinfra/deploy.sh:47
Inclus
Hash de commita3f9c2e
Inclus
Type d'identifiantClé d'accès AWS
Inclus
Devinettes nécessairesAucune →
Détection complète, pas de faux positifs à trier

L'historique git entièrement couvert

Un secret commité il y a trois ans et supprimé le lendemain est toujours dans votre dépôt. Lumstep analyse chaque commit, pas seulement l'état actuel des fichiers - un identifiant "nettoyé" mais jamais révoqué est donc détecté.

Couverture dans le temps
Fichiers actuelsÉtat de l'arbre de travail
Scanné
Supprimé il y a 3 ansToujours dans l'historique git
Toujours détecté
"Nettoyé" mais jamais révoquéToujours signalé →
Détection complète, pas de faux positifs à trier

Validation de validité en temps réel

Pour les fournisseurs supportés - AWS, GitHub, Stripe, Slack, Google Cloud et d'autres - Lumstep teste si l'identifiant détecté fonctionne encore. Une clé encore active qui doit être révoquée n'est pas traitée comme une clé déjà tournée.

Fournisseurs validés
AWSValidité de clé d'accès
Supporté
GitHubValidité de token
Supporté
Stripe / Slack / GCPValidité de clé & token
Supporté
Active vs. tournéeTraitées différemment →
Détection complète, pas de faux positifs à trier

Localisation exacte, sans bruit

Chaque résultat inclut le chemin du fichier, le numéro de ligne et le hash du commit où le secret est apparu. Les patterns haute précision et le filtrage entropique produisent de vrais résultats, pas une liste de faux positifs à trier.

Filtrage de précision
Correspondance de patterns200+ patterns spécifiques aux services
Haute précision
Filtrage entropiqueRéduit les faux positifs génériques
Appliqué
BruitFiltré →
Détection complète, pas de faux positifs à trier

Signalé en quelques minutes après le push

Chaque push déclenche un scan complet. Les secrets exposés sont signalés bien avant qu'un scanner périodique ou une revue manuelle ne les détecte - au moment où la fenêtre d'exploitation est encore fermée.

Délai de détection
Scanner périodiqueS'exécute selon un planning
Plus lent
LumstepS'exécute à chaque push
Minutes
Fenêtre d'exploitationFermée plus vite →

Analysez votre historique à la recherche d'identifiants exposés.

Accès anticipé gratuit. La détection couvre l'historique complet dès le premier scan.

Accès anticipé