1 artigo com esta tag
Segredos não podem ser 'apagados depois que vazam'. Uma vez comitado, um segredo fica no histórico do Git, e uma vez enviado deve ser tratado como vazado — a chave precisa ser revogada/rotacionada. O gitleaks é uma ferramenta gratuita que varre todo o repo e o histórico de commits com regex/entropia para encontrar chaves de API, chaves privadas e tokens. O cerne da defesa são dois portões: um hook de pre-commit que o detém localmente antes do push e CI/cron que pega o que escapa. O .gitignore só evita novo rastreamento — ele não detecta, então você ainda precisa de um scanner.