<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Gitguardian on Tarragon</title><link>https://tarrragon.github.io/blog/tags/gitguardian/</link><description>Recent content in Gitguardian on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Mon, 18 May 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/gitguardian/index.xml" rel="self" type="application/rss+xml"/><item><title>GitGuardian</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/gitguardian/</link><pubDate>Mon, 18 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/gitguardian/</guid><description>&lt;p>GitGuardian 是 &lt;em>secret scanning + remediation&lt;/em> SaaS、起家於 GitHub public repo scan、現延伸到 internal SCM、CI 系統與 collaboration / chat 工具。它跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &amp;#43; Secret Scanning &amp;#43; Dependency Review &amp;#43; Dependabot、跟 PR / Security tab 深度整合">GHAS Secret Scanning&lt;/a> 的根本差異不在「能不能抓到 secret」、而在 &lt;em>偵測邊界跟 remediation workflow 的 shape&lt;/em> — GHAS 是 GitHub-only、partner pattern 強但 push protection 鎖在 GitHub repo；GitGuardian 把 detection 邊界擴到跨 SCM 跟 SaaS workspace、然後用 &lt;em>Incident&lt;/em> 物件管整個生命週期。&lt;/p>
&lt;h2 id="服務定位">服務定位&lt;/h2>
&lt;p>GitGuardian 的核心定位是 &lt;em>跨工具的 secret leak detection + incident workflow&lt;/em>、不只是「pre-commit grep」。底層是一組 &lt;em>Detector&lt;/em>（350+ specific detector、覆蓋 AWS / GCP / Stripe / Slack / 自家 token 等）+ &lt;em>Validation endpoint&lt;/em>（call 該 service 確認 secret live 中），上層是 &lt;em>Incident&lt;/em> 物件（assign / resolve / ignore / share with developer）跟 &lt;em>Source&lt;/em> 抽象（GitHub / GitLab / Bitbucket / Azure DevOps / Slack / Jira / Confluence / Notion）。本機側用 &lt;em>ggshield&lt;/em> CLI 做 pre-commit hook 跟 CI scan。&lt;/p>
&lt;p>跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &amp;#43; Secret Scanning &amp;#43; Dependency Review &amp;#43; Dependabot、跟 PR / Security tab 深度整合">GHAS Secret Scanning&lt;/a> 比、GitGuardian 走 &lt;em>cross-tool detection + remediation workflow&lt;/em>、GHAS 走 &lt;em>deep integration in GitHub&lt;/em>：GHAS 的 push protection 在 GitHub server-side 直接攔 push、partner pattern（AWS / Stripe / Slack）廣度高；但只要組織有 GitLab self-hosted、Bitbucket、或 developer 習慣把 token 貼 Slack / Confluence，GHAS 看不到的就是 GitGuardian 的場域。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/gitleaks/" data-link-title="Gitleaks" data-link-desc="OSS CLI secret scanner、Go 寫、Rule TOML &amp;#43; regex &amp;#43; entropy、SARIF output、跨 SCM、pre-commit &amp;#43; CI 友善">Gitleaks&lt;/a> / TruffleHog OSS 比、GitGuardian 走 &lt;em>managed SaaS + validation + workflow&lt;/em>、OSS 走 &lt;em>self-hosted + 你自己接 incident pipeline&lt;/em>；OSS 適合預算敏感 + 已有 SOC / IR tooling、GitGuardian 適合直接買 incident workflow 不想自建。&lt;/p></description><content:encoded><![CDATA[<p>GitGuardian 是 <em>secret scanning + remediation</em> SaaS、起家於 GitHub public repo scan、現延伸到 internal SCM、CI 系統與 collaboration / chat 工具。它跟 <a href="/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &#43; Secret Scanning &#43; Dependency Review &#43; Dependabot、跟 PR / Security tab 深度整合">GHAS Secret Scanning</a> 的根本差異不在「能不能抓到 secret」、而在 <em>偵測邊界跟 remediation workflow 的 shape</em> — GHAS 是 GitHub-only、partner pattern 強但 push protection 鎖在 GitHub repo；GitGuardian 把 detection 邊界擴到跨 SCM 跟 SaaS workspace、然後用 <em>Incident</em> 物件管整個生命週期。</p>
<h2 id="服務定位">服務定位</h2>
<p>GitGuardian 的核心定位是 <em>跨工具的 secret leak detection + incident workflow</em>、不只是「pre-commit grep」。底層是一組 <em>Detector</em>（350+ specific detector、覆蓋 AWS / GCP / Stripe / Slack / 自家 token 等）+ <em>Validation endpoint</em>（call 該 service 確認 secret live 中），上層是 <em>Incident</em> 物件（assign / resolve / ignore / share with developer）跟 <em>Source</em> 抽象（GitHub / GitLab / Bitbucket / Azure DevOps / Slack / Jira / Confluence / Notion）。本機側用 <em>ggshield</em> CLI 做 pre-commit hook 跟 CI scan。</p>
<p>跟 <a href="/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &#43; Secret Scanning &#43; Dependency Review &#43; Dependabot、跟 PR / Security tab 深度整合">GHAS Secret Scanning</a> 比、GitGuardian 走 <em>cross-tool detection + remediation workflow</em>、GHAS 走 <em>deep integration in GitHub</em>：GHAS 的 push protection 在 GitHub server-side 直接攔 push、partner pattern（AWS / Stripe / Slack）廣度高；但只要組織有 GitLab self-hosted、Bitbucket、或 developer 習慣把 token 貼 Slack / Confluence，GHAS 看不到的就是 GitGuardian 的場域。跟 <a href="/blog/backend/07-security-data-protection/vendors/gitleaks/" data-link-title="Gitleaks" data-link-desc="OSS CLI secret scanner、Go 寫、Rule TOML &#43; regex &#43; entropy、SARIF output、跨 SCM、pre-commit &#43; CI 友善">Gitleaks</a> / TruffleHog OSS 比、GitGuardian 走 <em>managed SaaS + validation + workflow</em>、OSS 走 <em>self-hosted + 你自己接 incident pipeline</em>；OSS 適合預算敏感 + 已有 SOC / IR tooling、GitGuardian 適合直接買 incident workflow 不想自建。</p>
<p>關鍵張力：<em>validation endpoint 是 FP 降噪核心</em>、但也是 <em>vendor 風險點</em>。Detector 抓到字串後 GitGuardian <em>call 該 service API live verify</em>（AWS access key 試 <code>sts:GetCallerIdentity</code>、Stripe key 試 retrieve event）、活躍 secret 才升 Incident。意義是 noise 從 OSS gitleaks 的 70-80% FP 降到 個位數 FP；風險是 GitGuardian <em>本身會 call 你的 cloud account</em> — vendor trust 跟 <a href="/blog/backend/07-security-data-protection/cases/failure-credential-rotation-without-scope/" data-link-title="7.C9 反例：憑證輪替未分 Scope" data-link-desc="憑證輪替若未分域分批，容易造成跨系統連鎖中斷。">Failure: Credential Rotation Without Scope</a> 的 scope map 需要在 onboarding 就釐清。</p>
<h2 id="本章目標">本章目標</h2>
<p>讀完本頁、讀者能判斷：</p>
<ol>
<li>GitGuardian 在 secret scanning stack 中承擔哪一段（pre-commit / SCM scan / SaaS scan / honeytoken）、哪些要外接（<a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">Vault</a> 管 rotation、IR tool 接 incident）</li>
<li>Detector / Validation / Incident / Source 的 ownership 設計（誰 assign、誰 resolve、developer 怎麼參與）</li>
<li>跨 SCM + SaaS coverage 該開哪些 source、historical scan 多久跑一次</li>
<li>何時用 GitGuardian、何時走 GHAS / Gitleaks / TruffleHog 的取捨</li>
</ol>
<h2 id="最短判讀路徑">最短判讀路徑</h2>
<p>判斷 GitGuardian deployment 是否健康、最少看四件事：</p>
<ul>
<li><strong>Source coverage 廣度</strong>：除 GitHub / GitLab 外、Slack / Jira / Confluence / Notion 是否也納入掃 — developer 把 token 貼 Slack DM 是常見 leak vector</li>
<li><strong>Validation endpoint 是否開</strong>：FP 降噪靠 live verify、未開等於回到 OSS gitleaks 的 noise 水位</li>
<li><strong>Incident remediation SLA</strong>：valid incident 從偵測到 rotation 完成的時間、是否串 <a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">Vault</a> 自動 rotation、是否進 PagerDuty / Slack alert</li>
<li><strong>ggshield 在 CI 跟 pre-commit 的覆蓋率</strong>：是否所有 repo 走 pre-commit hook、CI step 是否阻擋 commit-with-secret merge</li>
</ul>
<p>四件事任一缺失、就是 <a href="/blog/backend/07-security-data-protection/secrets-and-machine-credential-governance/" data-link-title="7.6 秘密管理與機器憑證治理" data-link-desc="以問題驅動方式整理 secret、token、key 與機器身份治理">Secrets Management at Scale</a> 邊界的待補項目。</p>
<h2 id="日常操作與決策形狀">日常操作與決策形狀</h2>
<p><strong>Detector library</strong>：350+ specific detector（AWS Access Key / Stripe Live Key / Slack Bot Token / GitHub PAT / 自家 API key pattern 等）+ generic high-entropy detector。Specific detector 走 vendor-specific pattern + validation endpoint、FP 個位數；generic detector 抓 unknown pattern、FP 較高、通常 routing 到 manual triage queue。Production tenant 應該全開 specific、generic 視 noise budget 開。</p>
<p><strong>Validation endpoint</strong>：detector 抓到字串後、GitGuardian backend <em>call 該 service API live verify</em>。AWS key 試 <code>sts:GetCallerIdentity</code>、Stripe key 試 retrieve test event、GitHub PAT 試 <code>GET /user</code>。verify 結果 <em>Valid</em> / <em>Invalid</em> / <em>Unknown</em> 三態、決定 incident severity。意義是 <em>只有 active secret 升 incident</em>、已 revoke 的舊 commit history 不再 noise。</p>
<p><strong>Incident workflow</strong>：偵測命中後會建 <em>Incident</em> 物件（而非直接 alert）、含 source location / detector / validation status / suggested remediation。Incident 可 <em>assign 給 developer</em>（developer 在 GitGuardian dashboard 自助 acknowledge / rotate / mark FP）、SecOps 只 review escalated case。對應 <a href="/blog/backend/07-security-data-protection/security-as-risk-routing-system/" data-link-title="7.15 資安作為風險路由系統" data-link-desc="建立資安作為風險路由系統的導讀大綱，串接問題節點、控制面與跨模組交接">Security Workflow as Code</a> 的 shift-left 模式 — developer 是 first responder、不是 SecOps 全包。</p>
<p><strong>Source coverage</strong>：GitGuardian 預設掃 SCM（GitHub / GitLab / Bitbucket / Azure DevOps / 自管 Git），但 <em>差異化價值在 SaaS scan</em> — Slack workspace（message / DM / file upload）、Jira issue / comment、Confluence page、Notion workspace、Microsoft Teams 都可接 source connector。Developer 在 Slack 貼 prod DB password 是真實常見 case、SCM-only 工具看不到。</p>
<p><strong>ggshield CLI</strong>：本地 / CI 端的 detection engine。<em>pre-commit hook</em> 攔住 push 前 leak（developer 機器、可被 bypass 但成本提高）、<em>CI step</em> 在 PR 跑 historical scan（不可 bypass、阻擋 merge）。跟 GHAS Push Protection 同類、但跨 SCM、且 detector pool 來自同一個 GitGuardian backend、跟 dashboard incident 走同一條 lineage。</p>
<p><strong>Historical scan</strong>：onboarding 第一次跑 <em>full git history scan</em>、回填過去所有 commit 的 leak。意義是 <em>已 leaked 多年的 secret 被找出來、強制 rotation</em>。對應 <a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/circleci-2023-secrets-rotation/" data-link-title="7.R7.2.3 CircleCI 2023：CI secrets 輪替壓力" data-link-desc="工程端點入侵後，CI 平台 secrets 如何成為高風險擴散點">CircleCI 2023 Secrets Rotation</a> 的場景：CI 環境 compromise 後、historical scan 在數小時內找出 CI 環境曾接觸過的所有 secret、配合 secret store API 自動 rotation。</p>
<p><strong>Honeytokens</strong>：散佈假 AWS / Stripe / GitHub token 到 repo 角落 / Confluence page / internal doc、attacker 拿到後試用會觸發 alert。是 <em>早期偵測 unauthorized access</em> 的工程化做法、不依賴 detection model 抓 attacker behavior、而是讓 attacker 自己 trigger 自己。對應 <a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/github-oauth-2022-token-supply-chain/" data-link-title="7.R7.2.2 GitHub OAuth 2022：第三方 token 供應鏈風險" data-link-desc="第三方整合 token 被竊後，如何形成跨組織存取風險">GitHub OAuth 2022 Token Supply Chain</a> — attacker 拿到 OAuth token 後試 GitHub API、honeytoken 在 attacker map 環境時就 trigger。</p>
<p><strong>Rotation 整合</strong>：detect 完不是工作結束、要 <em>rotate the secret</em>。GitGuardian 自身不存 secret，rotation 走 webhook / API 拉 <a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">Vault</a> / AWS Secrets Manager / Azure Key Vault 觸發 rotation workflow。意義是 <em>偵測跟 remediation 解耦</em>、但需要組織側先把 secret store 接好、否則 incident 只能 manual rotation。</p>
<h2 id="核心取捨表">核心取捨表</h2>
<table>
  <thead>
      <tr>
          <th>取捨維度</th>
          <th>GitGuardian</th>
          <th>GHAS Secret Scanning</th>
          <th>Gitleaks (OSS)</th>
          <th>TruffleHog</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>部署模型</td>
          <td>SaaS（self-hosted 有 enterprise tier）</td>
          <td>GitHub-only（SaaS / GHES）</td>
          <td>Self-hosted CLI / CI</td>
          <td>Self-hosted CLI / CI / SaaS tier</td>
      </tr>
      <tr>
          <td>Source 範圍</td>
          <td>GitHub / GitLab / Bitbucket / ADO / SaaS</td>
          <td>GitHub repo only</td>
          <td>Git repo（任何 host）</td>
          <td>Git / S3 / Docker / 多 source</td>
      </tr>
      <tr>
          <td>Validation</td>
          <td>內建、350+ detector live verify</td>
          <td>Partner pattern validation（部分）</td>
          <td>無（regex match only）</td>
          <td>有（verified mode）</td>
      </tr>
      <tr>
          <td>Push 攔截</td>
          <td>ggshield pre-commit + CI</td>
          <td>Push Protection（server-side、強制）</td>
          <td>pre-commit hook</td>
          <td>pre-commit hook</td>
      </tr>
      <tr>
          <td>Incident workflow</td>
          <td>內建 Incident + assign + dashboard</td>
          <td>GitHub Alert + Dependabot-like UI</td>
          <td>無（自接 SIEM）</td>
          <td>SaaS tier 有、OSS 無</td>
      </tr>
      <tr>
          <td>Honeytokens</td>
          <td>內建</td>
          <td>無</td>
          <td>無</td>
          <td>無</td>
      </tr>
      <tr>
          <td>計費</td>
          <td>Per developer / contributor（年訂）</td>
          <td>Per active committer（GitHub Enterprise）</td>
          <td>免費</td>
          <td>OSS 免費、SaaS 按 contributor</td>
      </tr>
      <tr>
          <td>適合場景</td>
          <td>跨 SCM + SaaS、要 workflow + honeytoken</td>
          <td>GitHub-only + 已買 GHAS</td>
          <td>預算敏感 + 自建 IR pipeline</td>
          <td>多 source（含 S3 / Docker）、OSS-friendly</td>
      </tr>
      <tr>
          <td>退場成本</td>
          <td>中 — Incident 歷史在 vendor、detector 通用</td>
          <td>中 — 綁 GitHub UI、export 有限</td>
          <td>低 — 規則自有</td>
          <td>低 — 規則自有</td>
      </tr>
  </tbody>
</table>
<p>選 GitGuardian 的核心訴求：<em>跨 SCM + SaaS coverage + 內建 incident workflow + honeytoken</em>、且能投入 per-developer 訂閱（大型公司 contributor 數會放大成本）+ 有 SecOps 跟 developer 分工承接 incident。GitHub-only 環境且已買 GHAS、重疊不必要、直接用 GHAS；預算敏感且自家有 IR pipeline、走 <a href="/blog/backend/07-security-data-protection/vendors/gitleaks/" data-link-title="Gitleaks" data-link-desc="OSS CLI secret scanner、Go 寫、Rule TOML &#43; regex &#43; entropy、SARIF output、跨 SCM、pre-commit &#43; CI 友善">Gitleaks</a> 或 TruffleHog OSS。</p>
<h2 id="進階主題">進階主題</h2>
<p><strong>Honeytokens 散佈策略</strong>：honeytoken 的效果取決於 <em>放在哪裡 + 看起來多真</em>。放 repo README、Confluence runbook、Slack <code>#engineering</code> 過期附件、舊 backup script — attacker reconnaissance 會優先看的地方。token 的命名要跟組織 naming convention 一致（<code>prod-db-readonly-2024</code>）、避免一看就是假的。每個 honeytoken 配 unique ID、trigger 時能定位 <em>attacker 從哪個位置拿到</em>、反推 leak surface。</p>
<p><strong>Validation endpoint 的 trade-off</strong>：validation 是 FP 降噪核心、但代價是 <em>GitGuardian 會 call 你的 cloud account</em>。AWS key 命中時 GitGuardian 從自家 IP call <code>sts:GetCallerIdentity</code>、log 留在你的 CloudTrail。Onboarding 要 <em>把 GitGuardian IP range allowlist 進 SIEM whitelist</em>、避免被自家 detection 誤判為 unauthorized access；同時要評估 vendor trust — 2020 年 GitGuardian 自家 source code 透過第三方 SaaS leak、提醒 vendor 不是 detection-only 的零信任邊界。</p>
<p><strong>IR workflow 整合</strong>：Incident 不應該停在 GitGuardian dashboard、要 routing 到組織既有 IR tooling — PagerDuty for on-call、Slack channel for SecOps、Jira ticket for tracking。Webhook 是標準做法、payload 含 incident metadata + validation status、由組織側決定升級邏輯（valid + prod scope → PagerDuty page；invalid + dev scope → Slack info）。</p>
<p><strong>Historical scan + scope map</strong>：偵測到 leaked secret 後、要回答 <em>這個 secret 還在哪裡用</em>。GitGuardian 的 historical scan 找出 <em>所有 commit 提到該 pattern 的位置</em>、配合組織側 secret store 的 <em>who uses this secret</em> metadata、形成 scope map。對應 <a href="/blog/backend/07-security-data-protection/cases/failure-credential-rotation-without-scope/" data-link-title="7.C9 反例：憑證輪替未分 Scope" data-link-desc="憑證輪替若未分域分批，容易造成跨系統連鎖中斷。">Failure: Credential Rotation Without Scope</a> — rotation 不能只換一個地方、要全 scope 一起換、否則舊 secret 還在某個 service 用、rotation 沒生效。</p>
<h2 id="排錯與失敗快速判讀">排錯與失敗快速判讀</h2>
<ul>
<li><strong>Incident volume 爆炸 / developer 看不完</strong>：generic high-entropy detector 全開 + 沒 assign 到 developer — 縮 generic detector scope、incident 走 assign-to-author、SecOps 只 review escalated</li>
<li><strong>Valid incident rotation 慢 / SLA 跑掉</strong>：沒接 secret store rotation API、停在 manual rotation — 接 <a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">Vault</a> / Secrets Manager webhook、自動觸發 rotation workflow</li>
<li><strong>Slack / Confluence 沒掃進來</strong>：以為 SCM-only 就夠 — 接 SaaS source connector、developer 貼 token 在 Slack DM 是常見 leak vector</li>
<li><strong>ggshield 被 bypass</strong>：pre-commit 在 developer 機器、可 <code>--no-verify</code> — 同步在 CI step 跑 ggshield、CI 不可 bypass、阻擋 merge</li>
<li><strong>Validation FP 不降</strong>：validation endpoint 沒開、或被 firewall 擋 — 確認 GitGuardian IP range 在 cloud account allowlist、validation status 是 <em>Valid</em> 不是 <em>Unknown</em></li>
<li><strong>Honeytoken 沒 trigger / 假警報</strong>：token 放錯位置（attacker 不會看的 deep nested folder）或命名一看就假 — 散佈到 reconnaissance hot spot、命名跟組織 convention 一致</li>
<li><strong>Per-developer 計費暴衝</strong>：contractor / bot account 也算 developer — review billing report、排除 service account / read-only viewer、跟 vendor 談 contributor 定義</li>
</ul>
<h2 id="何時改走其他服務">何時改走其他服務</h2>
<table>
  <thead>
      <tr>
          <th>需求形狀</th>
          <th>改走</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>GitHub-only + 已買 GHAS</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &#43; Secret Scanning &#43; Dependency Review &#43; Dependabot、跟 PR / Security tab 深度整合">GHAS Secret Scanning</a></td>
      </tr>
      <tr>
          <td>預算敏感 + 自建 IR pipeline</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/gitleaks/" data-link-title="Gitleaks" data-link-desc="OSS CLI secret scanner、Go 寫、Rule TOML &#43; regex &#43; entropy、SARIF output、跨 SCM、pre-commit &#43; CI 友善">Gitleaks</a> OSS / TruffleHog OSS</td>
      </tr>
      <tr>
          <td>多 source（S3 / Docker image）</td>
          <td>TruffleHog（覆蓋更多 non-Git source）</td>
      </tr>
      <tr>
          <td>Secret store / rotation</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">HashiCorp Vault</a> / AWS Secrets Manager / Azure Key Vault</td>
      </tr>
      <tr>
          <td>SIEM correlation / cross-source</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a></td>
      </tr>
      <tr>
          <td>Supply chain build provenance</td>
          <td><a href="https://docs.sigstore.dev/">Sigstore / SLSA vendor 群</a>（同 vendor 章）</td>
      </tr>
      <tr>
          <td>Incident routing</td>
          <td><a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a></td>
      </tr>
  </tbody>
</table>
<h2 id="不在本頁內的主題">不在本頁內的主題</h2>
<ul>
<li>ggshield 完整 CLI flag reference 跟 custom detector YAML schema</li>
<li>GitGuardian Internal Monitoring (self-hosted enterprise) 的部署架構細節</li>
<li>Honeytoken 在 active deception / canary token 廣義生態的位置（屬 deception engineering、不在本頁）</li>
<li>Detector pattern 的 regex / entropy 細節（屬 detection engineering）</li>
</ul>
<h2 id="案例回寫">案例回寫</h2>
<p>GitGuardian 在 07 案例庫沒有直接 vendor-level 事件、但所有 secret leak / supply chain case 都是它的偵測對照：</p>
<table>
  <thead>
      <tr>
          <th>案例</th>
          <th>跟 GitGuardian 的關係（對照啟示）</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/circleci-2023-secrets-rotation/" data-link-title="7.R7.2.3 CircleCI 2023：CI secrets 輪替壓力" data-link-desc="工程端點入侵後，CI 平台 secrets 如何成為高風險擴散點">CircleCI 2023 Secrets Rotation</a></td>
          <td>Historical scan 在 CI compromise 後數小時內找出 CI 環境曾接觸過的所有 secret、配合 <a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">Vault</a> 自動 rotation、不是 console manual rotation</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/github-oauth-2022-token-supply-chain/" data-link-title="7.R7.2.2 GitHub OAuth 2022：第三方 token 供應鏈風險" data-link-desc="第三方整合 token 被竊後，如何形成跨組織存取風險">GitHub OAuth 2022 Token Supply Chain</a></td>
          <td>Honeytokens 散佈在 repo 跟 Confluence、attacker 拿到 OAuth token 後試 GitHub API 時 trigger、不靠 detection model 抓 attacker behavior</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/cases/failure-credential-rotation-without-scope/" data-link-title="7.C9 反例：憑證輪替未分 Scope" data-link-desc="憑證輪替若未分域分批，容易造成跨系統連鎖中斷。">Failure: Credential Rotation Without Scope</a></td>
          <td>GitGuardian historical scan 找出 leaked secret 的 <em>scope map</em>（哪些 service 共用同一個 secret）、配合 <a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">Vault</a> 分域 rotation 才完整</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/solarwinds-2020-sunburst/" data-link-title="7.R7.2.1 SolarWinds 2020：更新鏈被濫用" data-link-desc="合法更新流程遭植入後，攻擊者如何長期潛伏與橫向擴散">SolarWinds 2020 Sunburst</a></td>
          <td>secret scanning 抓不到 build pipeline 內 malicious code 注入、要靠 <a href="https://docs.sigstore.dev/">Sigstore / SLSA</a> provenance；secret scanning 是覆蓋一段、不是全部</td>
      </tr>
  </tbody>
</table>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li>上游：<a href="/blog/backend/07-security-data-protection/secrets-and-machine-credential-governance/" data-link-title="7.6 秘密管理與機器憑證治理" data-link-desc="以問題驅動方式整理 secret、token、key 與機器身份治理">7.x Secrets Management at Scale</a>、<a href="/blog/backend/07-security-data-protection/security-as-risk-routing-system/" data-link-title="7.15 資安作為風險路由系統" data-link-desc="建立資安作為風險路由系統的導讀大綱，串接問題節點、控制面與跨模組交接">Security Workflow as Code</a></li>
<li>平行：<a href="/blog/backend/07-security-data-protection/vendors/github-advanced-security/" data-link-title="GitHub Advanced Security" data-link-desc="GitHub 內建 4 大模組：Code Scanning (CodeQL) &#43; Secret Scanning &#43; Dependency Review &#43; Dependabot、跟 PR / Security tab 深度整合">GHAS Secret Scanning</a>、<a href="/blog/backend/07-security-data-protection/vendors/gitleaks/" data-link-title="Gitleaks" data-link-desc="OSS CLI secret scanner、Go 寫、Rule TOML &#43; regex &#43; entropy、SARIF output、跨 SCM、pre-commit &#43; CI 友善">Gitleaks</a>、TruffleHog</li>
<li>下游：<a href="/blog/backend/07-security-data-protection/vendors/hashicorp-vault/" data-link-title="HashiCorp Vault" data-link-desc="Self-hosted secret management 與 dynamic credential / encryption-as-a-service / PKI engine、跨雲跨環境的 secret 控制面">HashiCorp Vault</a>（rotation 接點）、<a href="/blog/backend/07-security-data-protection/vendors/aws-secrets-manager/" data-link-title="AWS Secrets Manager" data-link-desc="AWS 原生 secret store &#43; 內建 RDS / Redshift rotation Lambda、Resource Policy 跨帳號共享、KMS 加密">AWS Secrets Manager</a> / <a href="/blog/backend/07-security-data-protection/vendors/azure-key-vault/" data-link-title="Azure Key Vault" data-link-desc="Azure 三合一 service（Secret &#43; Key &#43; Certificate）、整合 Managed Identity &#43; Entra ID RBAC、Premium tier 走 HSM">Azure Key Vault</a></li>
<li>跨類：<a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a>（Incident webhook → SIEM）、<a href="https://docs.sigstore.dev/">Sigstore</a>（build provenance 覆蓋 secret scanning 抓不到的段）</li>
<li>跨模組：<a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a>（Incident → IR routing）</li>
<li>官方：<a href="https://docs.gitguardian.com/">GitGuardian Documentation</a></li>
</ul>
]]></content:encoded></item></channel></rss>