扫描GitHub安全风险
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
Gitxray,即 Git X-Ray,是一款面向 GitHub 仓库的多用途安全工具,定位覆盖 OSINT、取证和开源供应链风险分析。它通过公共 GitHub REST API 收集原本需要大量人工检索的信息,并尝试从贡献者资料、提交记录、工作流、Release 资产和 90 天公共事件等位置发现异常线索。
从防护类型看,Gitxray更像“GitHub 仓库风险透视器”,而非传统运行时防护产品。它可识别贡献者资料中的意外泄露,如 PGP/SSH key 名称、主机名、目录路径甚至误填的敏感信息;也能通过 key 指纹、账号创建时间、提交签名等线索提示共享、共管或疑似虚假账号。工具还支持重复仓库名检查、提交时间异常、时区推断、疑似篡改提交日期、回收用户名、恶意 Release assets 线索和匿名贡献者分析。
部署方式以命令行使用为主,默认可生成 Bootstrap 支持的 HTML 报告,也可输出 text 便于按日期做事件取证。它无需 GitHub API key 即可运行,但很快会遇到 Rate Limits;使用只读 public repository token 可显著提升限制,并且工具会在触发限制时暂停等待恢复。
文本显示 Gitxray 依据 GNU Affero GPL v3 License 提供,未披露商业版、SaaS 订阅或付费支持。管理方面,它提供类别过滤,例如 user_input、association、commits、contributors、releases、anonymous 等,适合调查人员聚焦特定问题;但没有看到集中控制台、实时告警、工单通知或企业权限管理描述。集成能力主要围绕 GitHub REST API,覆盖 Commits、Comments、Workflow Runs、Issues、Deployments、Releases、用户事件和 PGP/SSH key 等公开数据。
优点是分析面广、开源可审计、报告友好,尤其适合开源项目维护者、安全研究员和供应链安全团队做仓库可信度评估、事件日回溯和贡献者画像。缺点也很明确:它不是完整的 Workflow Security Scanner,自动关联结果不能直接定性恶意账号;数据量大时初学者会感到复杂,且依赖 GitHub 公开数据与 API 限制。
站点和 GitHub API 在中国大陆的可访问性未由文本说明,因此评为未知。实际使用可能受 GitHub 网络稳定性影响;支付信息无披露。若需要替代或补充,可结合 GitHub 原生安全功能、SCA/代码扫描工具以及专门的 GitHub Actions 工作流安全扫描器。
本测评基于公开资料整理,不构成购买建议,请以 gitxray.com 官网实际信息为准。
开源仓库安全X-Ray工具,可查脆弱工作流。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。