Freemium 🇪🇺 EU-Server

GitGuardian

4/5

GitGuardian erkennt versehentlich im Code eingecheckte Secrets — API-Keys, Passwörter, Zertifikate — bevor sie ausgenutzt werden können. Mit Support für über 550 Secret-Typen und Scanning über gesamte Git-History ist es der Standard für Secrets-Security in DevSecOps-Teams.

Kosten: Kostenlos für Open-Source-Repos unter eigener GitHub-Organisation. Paid-Pläne für Internal Monitoring nach Repository-Anzahl und Entwicklerzahl. Enterprise-Preise auf Anfrage.

Stärken

Erkennt über 550 Secret-Typen inkl. AWS, GitHub, Slack, OpenAI-Tokens
Scannt nicht nur aktuelle Commits, sondern die vollständige Git-History
ggshield CLI für Pre-Commit-Hooks — verhindert Secrets bereits lokal
NHI Governance und Jira/Confluence-Scanning für breite Angriffsflächen-Abdeckung

Einschränkungen

Kein Deutsch-Support — primär englischsprachige Plattform
Voller Nutzen erst in größeren Teams mit vielen Repos sichtbar
GitHub Secret Scanning bietet kostenlosen Basis-Schutz als Alternative

Passt gut zu

Entwicklungsteams, die Secrets-Leaks in Code-Repos verhindern wollen Security-Teams mit Compliance-Anforderungen (SOC 2, ISO 27001) Unternehmen mit vielen Entwicklern und hohem Risiko für versehentliche Credential-Leaks

So steigst du ein

Schritt 1: Verbinde GitGuardian mit deiner GitHub- oder GitLab-Organisation — der kostenlose Plan für Public-Source-Monitoring ist sofort aktiv. Für interne Repos wechselst du auf einen bezahlten Plan.

Schritt 2: Installiere ggshield als Pre-Commit-Hook auf den Entwicklungsrechnern deines Teams: pip install ggshield && ggshield install -m global. Ab jetzt wird jeder Commit lokal gescannt, bevor er das Repository erreicht.

Schritt 3: Lasse einen Scan über die vollständige Git-History deiner wichtigsten Repositories laufen (ggshield secret scan repo .) — erfahrungsgemäß finden Teams dabei alte, längst vergessene Credentials, die seit Jahren aktiv sind.

Ein konkretes Beispiel

Ein Berliner Fintech-Startup mit 12 Entwicklern entdeckt beim ersten GitGuardian-Scan in der Git-History einen AWS-API-Key, der vor 18 Monaten versehentlich eingecheckt und seitdem nie rotiert wurde. GitGuardian zeigt den genauen Commit, die betroffene Datei und gibt Schritt-für-Schritt-Anweisungen zur Rotation. Der Key wird sofort invalidiert und erneuert. Ohne GitGuardian wäre dieser Leak wahrscheinlich jahrelang unbemerkt geblieben.

Gut kombiniert mit

GitHub Copilot — Copilot generiert Code schneller, GitGuardian prüft parallel, dass keine Secrets im generierten Code landen
Snyk — Snyk für Dependency-Vulnerabilities, GitGuardian für Secrets-Leaks — beide Schichten zusammen ergeben DevSecOps
SonarQube — statische Code-Analyse für Qualität und Security-Bugs, GitGuardian als spezialisierter Secrets-Layer

Weitere Tools

Snyk

Snyk Ltd.

Snyk ist eine KI-gestützte Developer-Security-Plattform, die Schwachstellen in Code, Open-Source-Abhängigkeiten, Container-Images und Infrastructure-as-Code direkt in der Entwicklungsumgebung und CI/CD-Pipeline erkennt. Sie gilt als De-facto-Standard für Teams, die Security früh in den Entwicklungsprozess integrieren wollen (Shift Left).

Mehr erfahren

SonarQube

Sonar (SonarSource SA)

SonarQube ist der Marktstandard für statische Code-Analyse und Continuous Code Quality. Die Plattform erkennt Bugs, Security-Schwachstellen, Code Smells und Test-Coverage-Lücken in 30+ Programmiersprachen — wahlweise Self-hosted oder als Cloud-Service. Seit 2025 ergänzt AI Code Assurance die Prüfung von KI-generiertem Code.