SANTA-IA
Clase 02 · Seguridad

El guardián de secretos: Gitleaks

práctica
01

El .gitignore no basta

Depende de que te acuerdes de cada archivo y de no escribir una llave por las prisas. Los humanos nos equivocamos. Necesitas un guardián que revise por ti.

02

Qué es Gitleaks

Un programa que mira cada cambio justo antes de guardarlo en git. Si huele a secreto, frena el commit y te avisa. El secreto no sale de tu máquina.

EL GUARDIÁN EN LA PUERTA DEL COMMIT Gitleaksrevisa cada commit antes de que salgacommitun paquetede cambiostrae una llaveFRENADOcommit detenidoel secreto no entra al repocommitun paquetede cambiosestá limpiollega al repoel cambio pasa
Revisa cada commit antes de que salga. Si trae un secreto, lo frena. Si está limpio, lo deja pasar.
03

Instálalo

Una vez, con Homebrew, en Mac.

brew install gitleaks
04

Guardián global: vigila todos tus repos

Un hook global revisa cada commit en todos tus proyectos, los de ahora y los que crees después. Lo pones una vez. Ojo: en Gitleaks 8.30 se escanea por stdin, no con --staged (ese revisa el historial).

git config --global core.hooksPath ~/.git-hooks-global# dentro de ~/.git-hooks-global/pre-commit:git diff --cached | gitleaks stdin --redact --no-banner
05

Pruébalo o no sirve

La AWS key de ejemplo AKIAIOSFODNN7EXAMPLE pasa a propósito: está en la lista blanca de documentación. Prueba con un secreto falso pero realista y confirma que lo frena.

PROBAR EL GUARDIÁN · DOS CASOS PRUEBAS CON EL EJEMPLO OFICIAL clave de ejemplo de AWSAKIAIOSFODNN7EXAMPLEla deja pasarestá en la lista blanca de la documentaciónfalsa sensación de seguridad PRUEBAS CON UN VALOR REALISTA secreto inventado, con pinta real"private_key": "AKIA4Z7QK..."lo frenano está en ninguna lista de excepcionesprueba de verdad prueba con un valor realista, no con el ejemplo oficial
El ejemplo oficial pasa a propósito. Si pruebas solo con él, no probaste nada.
06

Auditar un repo a mano

Para revisar un proyecto entero, su historial incluido.

gitleaks git -v
07

La salida de emergencia y un punto ciego

Saltarte el guardián una vez existe, pero úsalo con criterio, no por costumbre. Y ojo: husky puede poner su propio hook local y pisar el global. Revisa que siga activo en proyectos nuevos.

git commit --no-verify
Volver a Seguridad

hecho con mucho amor

espero les sea útil

santa-ia · 2026 · @santaia.lab