a05a7c14e9
All checks were successful
CI / secret-scan (push) Successful in 7s
CI / php-lint (push) Successful in 16s
CI / static-tests (push) Successful in 3s
CI / secret-scan (pull_request) Successful in 9s
CI / php-lint (pull_request) Successful in 17s
CI / static-tests (pull_request) Successful in 3s
31 lines
1,004 B
TOML
31 lines
1,004 B
TOML
# Wakdo - configuration gitleaks (secret-scan)
|
|
#
|
|
# Utilise par :
|
|
# - le hook pre-commit local (defense en profondeur)
|
|
# - le job CI Forgejo Actions (.forgejo/workflows/, lot D) sur chaque PR -> dev
|
|
#
|
|
# Principe : etendre le jeu de regles par defaut de gitleaks, puis ne tolerer
|
|
# QUE les faux positifs explicitement justifies ci-dessous (placeholders de doc).
|
|
|
|
[extend]
|
|
useDefault = true
|
|
|
|
[allowlist]
|
|
description = "Faux positifs documentes - placeholders de configuration, jamais des secrets reels"
|
|
|
|
# Fichiers de template / doc : ne contiennent que des placeholders RFC 2606 / change_me.
|
|
paths = [
|
|
'''\.env\.example$''',
|
|
'''\.gitleaks\.toml$''',
|
|
'''docs/.*\.md$''',
|
|
]
|
|
|
|
# Valeurs placeholder explicites tolerees ou qu'elles apparaissent.
|
|
regexes = [
|
|
'''change_me_strong_password''',
|
|
'''change_me_root_password''',
|
|
'''example\.com''',
|
|
]
|
|
|
|
# Note : le vrai .env est gitignore et ne doit jamais etre commite. Ce scan est
|
|
# une defense en profondeur, pas un substitut a l'hygiene .gitignore.
|