跳转到主要内容
一旦敏感信息进入你的 Git 历史,就等于落入了所有攻击者手中。这项定时自动化会扫描你的代码仓库,查找误提交的凭据 (API 密钥、访问令牌、私钥、连接字符串) ,创建紧急修复工单,并引导你完成轮换步骤——让你在泄露演变成安全事件之前就能及时发现。

使用此模板

在 Devin 中打开 密钥扫描器,并使用默认配置创建该自动化。你也可以在保存前按需自定义。

此自动化的功能

与一次性扫描器不同,此自动化会持续按周期运行,并包含可由人工引导的工作流程:确认发现项、轮换凭据、验证轮换是否成功,以及从 git 历史记录中移除该密钥。Devin 会推进每个步骤,因此你的团队无需记住凭据轮换 playbook。

工作原理

触发器: 计划事件recurring
  • 事件: schedule:recurring
    • 条件:
      • rrule 匹配 FREQ=DAILY;BYHOUR=9;BYMINUTE=0
Devin 会执行什么: 使用完整的事件上下文启动会话,执行下方的提示,并可在失败时通知你。

先决条件

示例提示

此模板附带以下提示。点击 使用模板 后,你可以编辑它,也可以保持原样。

设置步骤

  1. 在 Devin 中打开 Automations → Templates
  2. 点击 密钥扫描器。系统会打开创建页面,并预先填好此模板。
  3. 连接所有必需的集成,如果你还没安装 MCP 服务器,请先安装。
  4. 替换触发条件中的所有占位符值 (例如,将 your-org/your-repo 替换为你的实际 repo) 。
  5. 查看提示,并根据你团队的语言、规范和护栏进行调整。
  6. 点击 Create automation
大多数自动化模板都包含建议的 ACU 和调用次数限制,用于在 rollout 早期控制成本。在你对自动化的行为有足够把握之前,请先保持这些设置不变;之后再根据你的工作负载提高限制。

何时使用此模板

  • 主动发现误提交的 secrets
  • 将遗留代码仓库纳入更严格的 secrets 扫描策略
  • 适用于要求记录 secrets 轮换情况的合规项目
  • 在公开泄露事件后进行全面排查

自定义建议

  • 配置最需要关注的密钥模式 (AWS、Stripe、Slack、内部)
  • 与你的密钥管理器集成,自动执行轮换步骤
  • 将范围限定为特定代码仓库或分支
  • 将关键发现发送到事件响应频道

另请参阅