GitGuardian

Kurzfazit

GitGuardian ist das spezialisierte Werkzeug, wenn du sicherstellen willst, dass keine API-Keys, Zugangsdaten oder Zertifikate versehentlich in deinen Code-Repositories landen. Kein anderes Tool deckt mit über 550 erkannten Secret-Typen so breite Angriffsflächen ab und bietet gleichzeitig die Kombination aus Pre-Commit-Prüfung, CI/CD-Integration und vollständigem History-Scan. Der Free-Plan bis 25 Entwickler macht den Einstieg ohne Budget-Diskussion möglich. Für umfassendes DevSecOps-Tooling empfiehlt sich die Kombination mit Snyk für Dependency-Scans und SonarQube für Code-Qualität — GitGuardian ist ein Spezialist, kein Allrounder.

Für wen ist GitGuardian?

Entwicklungsteams in SaaS- und Tech-Unternehmen: Überall dort, wo Code täglich mehrfach committer wird und Dutzende von API-Integrationen im Einsatz sind, ist das Risiko versehentlicher Secret-Leaks hoch. GitGuardian macht dieses Risiko sichtbar und beherrschbar — besonders für Teams, die schnell wachsen und dabei manchmal Sicherheitsdisziplin gegen Geschwindigkeit tauschen.

Security- und DevSecOps-Teams mit Compliance-Druck: SOC 2, ISO 27001 und ähnliche Frameworks verlangen dokumentierte Maßnahmen gegen Credential-Leaks. GitGuardian liefert nicht nur Schutz, sondern auch Audit-Trails und Reporting, die Compliance-Prüfer überzeugen.

Open-Source-Maintainer: Das Public-Source-Monitoring ist kostenlos und dauerhaft. Wer OSS-Projekte auf GitHub verwaltet, bekommt sofort Benachrichtigungen, wenn ein Contributor versehentlich einen Token in einem PR hinterlässt.

Startups in Wachstumsphasen: Mit dem kostenlosen Plan für bis zu 25 Entwickler ist der Einstieg ohne Budget-Diskussion möglich. Genau der richtige Moment, gute Secrets-Hygiene zu etablieren, bevor das Team wächst und Technical Debt in der Security entsteht.

Weniger geeignet für: Teams, die ausschließlich auf GitHub setzen und mit dem eingebauten GitHub Secret Scanning zufrieden sind. Ebenfalls weniger passend für Einzelentwickler mit überschaubaren Projekten und kaum externen API-Integrationen — hier übersteigt der Aufwand den Nutzen.

Preise im Detail

Plan	Preis	Entwickler	Was du bekommst
Free (Starter)	0 €	bis 25	Real-Time-Scanning unbegrenzt, bis 500 historische Scan-Befunde, internes Secrets Monitoring
Business	Custom	bis 200	Bis zu 20 Teams, Remediation Playbooks, Repos bis 12 GB, Custom Regex Detectors, alle Free-Features
Enterprise	Auf Anfrage	200+	Alle drei Produktlinien (Internal + Public Monitoring + NHI Governance), Self-Hosted-Option, Honeytokens, Push-to-Vault, dedizierter Support

Einordnung: Der Free-Plan ist für kleine Teams echt großzügig — Real-Time-Scanning ohne Limit für bis zu 25 Entwickler deckt die Mehrheit der Startups ab. Business lohnt sich, sobald du mehr als 25 Entwickler hast oder Remediation-Workflows und größere Repository-Scans brauchst. Die Preise für Business und Enterprise sind nicht öffentlich; rechne für mittelgroße Teams mit Preisen ab ca. 15–25 USD pro Entwickler und Monat. Enterprise-Kunden mit Self-Hosted-Anforderungen sollten frühzeitig mit dem Sales-Team sprechen.

Stärken im Detail

Über 550 erkannte Secret-Typen machen den Unterschied. GitGuardian erkennt nicht nur generische API-Keys, sondern kennt das spezifische Format von AWS-Credentials, GitHub-Tokens, OpenAI-API-Keys, Slack-Webhooks, Stripe-Secrets und Hunderten weiterer Dienste. Dadurch gibt es kaum False Positives bei spezifischen Diensten, und echte Leaks werden mit hoher Treffsicherheit markiert.

History-Scan ist einmalig wertvoll — und oft überraschend. Die meisten Unternehmen, die GitGuardian zum ersten Mal in ihre bestehenden Repos lassen, sind schockiert: Credentials, die vor Monaten oder Jahren eingecheckt wurden und längst vergessen sind, tauchen auf — und sind häufig noch aktiv. Der vollständige Git-History-Scan ist keine Einmalfunktion, sondern eine Grundvoraussetzung für eine ehrliche Einschätzung der eigenen Sicherheitslage.

ggshield als Pre-Commit-Hook schließt die Lücke an der Quelle. Die Erkennung im Repository ist wichtig, aber noch besser ist es, Secrets gar nicht erst einzuchecken. Der ggshield-CLI lässt sich als Git-Hook installieren und prüft jeden Commit lokal — bevor er das Repository auch nur erreicht. Das ist der effektivste Zeitpunkt für einen Eingriff, bevor ein Secret in der History landet.

NHI Governance adressiert den blinden Fleck Non-Human-Identities. Neben Entwickler-Credentials gibt es in modernen Umgebungen tausende automatisierter Service-Accounts, CI/CD-Tokens und Machine-to-Machine-Credentials. GitGuardian scannt nicht nur Code, sondern auch Jira, Confluence und andere Collaboration-Tools — genau dort, wo Credentials häufig in Kommentaren oder Dokumenten landen.

Schwächen ehrlich betrachtet

Business- und Enterprise-Pricing ist eine Black Box. Wer mehr als 25 Entwickler hat, muss mit dem Sales-Team sprechen. Konkrete Budgetplanung ist damit schwer — und Vergleiche mit Alternativen wie GitHub Advanced Security werden zum mühsamen Prozess. Für Unternehmen, die gerne transparent kalkulieren, ist das frustrierend.

Kein Deutsch-Support ist in der Praxis ein Hindernis. Die gesamte Plattform — Dashboard, Alerts, Dokumentation, Support — ist auf Englisch. Für Teams, in denen nicht alle Entwickler fließend Englisch lesen, erschwert das die Adoption. Ein Workaround sind interne Schulungen und deutsche Runbooks, aber das ist zusätzlicher Aufwand.

GitHub Secret Scanning ist für GitHub-only-Teams eine ernsthafte Alternative. GitHub Advanced Security enthält ein eigenes Secret Scanning, das direkt in den GitHub-Workflow integriert ist und für Public-Repos kostenlos ist. Wer ausschließlich auf GitHub setzt, sollte zunächst prüfen, ob GitHub Secret Scanning ausreicht — GitGuardian glänzt vor allem bei Multi-Platform-Umgebungen (GitHub + GitLab + Bitbucket) und tieferen Compliance-Anforderungen.

Voller Nutzen setzt eine gewisse Reife voraus. Pre-Commit-Hooks funktionieren nur, wenn alle Entwickler sie installieren und nicht deaktivieren. Das erfordert Disziplin und ggf. erzwungene CI/CD-Gates. Bei Teams ohne DevSecOps-Kultur ist GitGuardian nicht die erste Priorität — zuerst braucht es Awareness und Prozesse.

Alternativen im Vergleich

Wenn du…	…nimm stattdessen
Dependency-Vulnerabilities in npm, PyPI oder Maven scannen willst	Snyk
Code-Qualität und Security-Bugs im eigenen Code analysieren willst	SonarQube
Ausschließlich GitHub nutzt und Secrets Scanning im integrierten Workflow willst	GitHub Advanced Security (kein eigenes Tool-Profil)
KI-generieren Code auf Secrets prüfen willst (Copilot + Guardian)	GitHub Copilot kombiniert mit GitGuardian

GitGuardian ist kein Ersatz für Snyk oder SonarQube, sondern eine Ergänzung: Secrets-Schutz ist eine eigene Schicht im Sicherheits-Stack, die keines der anderen Tools vollständig abdeckt.

So steigst du ein

Schritt 1: Verbinde GitGuardian mit deiner GitHub- oder GitLab-Organisation — der kostenlose Plan für bis zu 25 Entwickler ist sofort aktiv ohne Kreditkarte. Für Public-Source-Monitoring aktivierst du das kostenlose Public-Dashboard. Für interne Repos prüfst du, ob der Free-Plan deine Team-Größe abdeckt oder ob du Business brauchst.

Schritt 2: Installiere ggshield als Pre-Commit-Hook auf den Entwicklungsrechnern deines Teams: pip install ggshield && ggshield install -m global. Ab jetzt wird jeder Commit lokal gescannt, bevor er das Repository erreicht. Alternativ integrierst du ggshield direkt in deine CI/CD-Pipeline als Gate, das Pushes mit Secrets blockiert.

Schritt 3: Lasse einen vollständigen History-Scan über deine wichtigsten Repositories laufen: ggshield secret scan repo . — erfahrungsgemäß finden Teams dabei alte, längst vergessene Credentials, die seit Jahren aktiv sind. Priorisiere die Befunde nach Dienst-Kritikalität und rotiere betroffene Keys sofort. Dokumentiere den Prozess für deinen Compliance-Nachweis.

Ein konkretes Beispiel

Ein Berliner Fintech-Startup mit 12 Entwicklern entdeckt beim ersten GitGuardian-Scan in der Git-History einen AWS-API-Key, der vor 18 Monaten versehentlich eingecheckt und seitdem nie rotiert wurde. GitGuardian zeigt den genauen Commit, die betroffene Datei und gibt Schritt-für-Schritt-Anweisungen zur Rotation. Der Key wird sofort invalidiert und erneuert — das ganze Vorgehen dauert weniger als eine Stunde. Ohne GitGuardian wäre dieser Leak wahrscheinlich jahrelang unbemerkt geblieben und hätte beim nächsten Sicherheitsaudit oder Pentest zu einer kritischen Befundkategorie geführt. Seit dem Scan laufen Pre-Commit-Hooks auf allen Entwickler-Maschinen, und das Team hat in sechs Monaten keinen einzigen neuen Secret-Leak produziert.

DSGVO & Datenschutz

• Datenhosting: GitGuardian hostet Daten in der EU (Europäische Union) — ein klarer Vorteil gegenüber vielen US-Konkurrenten
• Gescannte Daten: GitGuardian verarbeitet Metadaten zu Commits und erkannte Secret-Fragmente, nicht den vollständigen Source-Code dauerhaft — die Dokumentation beschreibt ein “least-data”-Prinzip
• DSGVO-Konformität: GitGuardian ist GDPR-konform, bietet Datenverarbeitungsverträge (DPA/AVV) an
• Self-Hosted-Option: Enterprise-Kunden können GitGuardian vollständig on-premises oder in der eigenen Cloud-Umgebung betreiben — maximale Datenkontrolle ohne Cloud-Abhängigkeit
• Empfehlung für Unternehmen: Für Branchen mit besonders strengen Anforderungen (Fintech, Healthcare, Verteidigung) ist die Self-Hosted-Enterprise-Option die empfohlene Variante; Standard-Teams profitieren bereits vom EU-Hosting der SaaS-Variante

Gut kombiniert mit

• GitHub Copilot — Copilot generiert Code schneller; GitGuardian prüft parallel, dass keine Secrets im generierten Code landen. Die Kombination ist besonders relevant, weil KI-generierter Code gelegentlich Platzhalter-Credentials aus Training-Daten enthält
• Snyk — Snyk deckt Dependency-Vulnerabilities ab, GitGuardian Secrets-Leaks — beide Schichten zusammen ergeben einen vollständigen DevSecOps-Stack für die häufigsten Angriffsvektoren
• SonarQube — SonarQube analysiert Code-Qualität und Security-Bugs im eigenen Code, GitGuardian fokussiert auf Credentials. Kombiniert decken beide Tools die Lücke zwischen “ist mein Code korrekt” und “sind meine Zugangsdaten sicher”

Unser Testurteil

GitGuardian verdient 4 von 5 Sternen als führendes Spezialtool für Secrets-Erkennung in Code-Repositories. Der Free-Plan bis 25 Entwickler, EU-Datenhosting und die Tiefe von über 550 erkannten Secret-Typen heben es klar über kostenlose Alternativen wie GitHub Secret Scanning hinaus. Den fünften Stern verpasst es wegen der intransparenten Business-Preise, des fehlenden Deutsch-Supports und der Tatsache, dass sich der volle Wert erst in Teams mit gewachsener DevSecOps-Kultur entfaltet. Für jedes Unternehmen, das API-Integrationen produktiv einsetzt und eine Multi-Platform-Git-Umgebung betreibt, ist GitGuardian die klare Empfehlung für die Secrets-Security-Schicht.

Was wir bemerkt haben

• Keine wesentlichen Änderungen bekannt.