谷歌开源秘钥扫描工具 Veles

Google Veles 是谷歌最新发布的开源秘钥扫描工具，属于谷歌 OSV-SCALIBR（软件成分分析库）生态系统的一部分。Veles 与 OSV-SCALIBR 的其他工具无缝集成，为 Google Cloud 提供秘钥扫描功能，同时也可以作为独立模块使用。

Veles 的设计目标是检测组织内部系统中敏感凭据的意外暴露。它可以帮助你找出那些本不应出现的秘钥，从而防止它们被滥用。

谷歌计划将 Veles 作为 Google Cloud 产品的秘钥扫描器，应用于 Artifact Registry 和安全指挥中心（Security Command Center，简称 SCC）。谷歌希望通过将 Veles 集成到 SCC 中来支持左移和右移安全策略，这意味着不仅在基础设施层面进行秘钥扫描，还将扫描范围扩展到了 Compute Engine 和 GKE。

谷歌还表示，其开源安全团队正在使用 Veles 扫描数亿个开源工件。尽管 GitHub、GitLab 等平台在扫描公共源代码方面做得很好，但意外暴露凭据的风险远不止于此，例如，包注册表、构建工件、容器镜像和其他分发渠道都存在秘密意外泄露的隐患。

构建的软件包和 Docker 镜像通常包含配置文件、编译后的二进制文件以及构建脚本，这些都可能成为凭据泄露的潜在源头。若将此类工件发布至 Maven Central、PyPI 或 DockerHub 等开源仓库，泄露的凭据便有可能被不法利用，从而带来安全风险。

谷歌表示，他们已经通过使用 Veles 取得了显著的成果，成功识别并报告了大量历史工件中暴露的凭据，例如 API 密钥、服务账号密钥和 OAuth 客户端密钥。

Veles 使用 Go 语言开发，允许开发者直接集成其 API，并使用 DetectionEngine 类来扫描秘钥。或者，你也可以通过 osv-scalibr（一个 Python 包）使用 osv_scalibr.scan 命令来调用它。

目前版本的 Veles 仅支持 Google Cloud Platform（GCP）API 密钥、GCP 服务账号密钥和 RubyGems API 密钥的扫描。不过，谷歌表示，Veles 的架构设计极具灵活性，能够轻松地添加新的检测器和验证器类型。他们计划随着时间推移逐步扩展该工具，使其能够支持更多种类的秘密。谷歌工程师表示，Veles 的长期目标是能够涵盖数百乃至数千种不同的凭据类型。

【声明：本文由 InfoQ 翻译，未经许可禁止转载。】

原文链接：

https://www.infoq.com/news/2025/08/google-veles-secret-scanner/