Docker 配置文件本地脱敏与安全验证工具。
在将配置文件分享给 AI 助手或其他第三方之前,自动识别并脱敏敏感信息,并通过 Gitleaks 进行安全验证。
- 键名脱敏: 自动识别包含敏感关键词的配置项(如
password,token,secret等) - 内容脱敏: 支持指定具体密码/IP片段进行整词替换
- 格式支持: 支持
.env,.yml,.yaml,.conf,.json,.ini,.txt等多种配置文件格式 - 安全验证: 集成 Gitleaks 进行二次安全扫描
- 非破坏性: 在独立目录中操作,不修改原始文件
# 克隆仓库
git clone https://github.com/lzf-sanitize.git
cd sanitize
# (可选) 创建虚拟环境
python -m venv .venv
source .venv/bin/activate
python cli.py <源目录> <目标目录> [选项]
| 参数 | 说明 |
|---|---|
src | 源目录路径(存放原始配置文件) |
dest | 目标目录路径(存放脱敏后的文件) |
-f, --force | 目标目录已存在时强制覆盖 |
-v, --verbose | 显示详细处理日志 |
-k, --keys | 追加要脱敏的键名,逗号分隔 |
-S, --secrets | 追加要脱敏的密码/IP片段,自动替换整词 |
-s, --scan | 脱敏后调用 Gitleaks 进行验证 |
python cli.py ~/real-docker ~/ai-workspace
python cli.py ~/real-docker ~/ai-workspace -k mysql,redis,api_key
python cli.py ~/real-docker ~/ai-workspace -S "mySecretPasswd,192.168.1"
python cli.py ~/real-docker ~/ai-workspace -k mysql,redis -S "password123" -s -v
工具默认会脱敏以下键名(不区分大小写):
pass,pwd,secret,key,tokenauth,cookie,cert,credential,id
使用 -s 参数时,工具会通过 Docker 调用 Gitleaks 进行安全扫描:
python cli.py ~/real-docker ~/ai-workspace -s
如果发现潜在泄露,可以:
- 使用
-v查看详细信息 - 添加更多敏感词 (
-k或-S) - 在特定行添加
# gitleaks:allow注释(确认是误报时)
- 本工具在目标目录中操作,不会修改原始文件
- 使用
-s参数需要本地安装并启动 Docker - 建议在分享前使用
-s -v进行完整检查
MIT
Sponsor
35/F,Tencent Building,Kejizhongyi Avenue,Nanshan District,Shenzhen
