From 7a1b43dff139b6fcd20b21c7c89f4b59009e38a2 Mon Sep 17 00:00:00 2001
From: GeWuYou <95328647+GeWuYou@users.noreply.github.com>
Date: Thu, 29 Jan 2026 15:59:39 +0800
Subject: [PATCH] =?UTF-8?q?feat(ci):=20=E9=9B=86=E6=88=90TruffleHog?=
 =?UTF-8?q?=E6=95=8F=E6=84=9F=E4=BF=A1=E6=81=AF=E6=89=AB=E6=8F=8F=E5=B7=A5?=
 =?UTF-8?q?=E5=85=B7?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

在CI工作流中添加TruffleHog OSS扫描步骤，用于检测代码库中的敏感信息泄露，
如API密钥、密码等。该工具会比较基础分支和当前提交之间的差异，
扫描新增内容中是否包含敏感数据，提升代码安全性。
---
 .github/workflows/ci.yml | 12 ++++++++++++
 1 file changed, 12 insertions(+)

diff --git a/.github/workflows/ci.yml b/.github/workflows/ci.yml
index d32cb4e..f7677a0 100644
--- a/.github/workflows/ci.yml
+++ b/.github/workflows/ci.yml
@@ -22,6 +22,18 @@ jobs:
         uses: actions/checkout@v6
         with:
           fetch-depth: 0
+      # TruffleHog OSS 扫描步骤
+      # 使用 TruffleHog 工具扫描代码库中的敏感信息泄露，如API密钥、密码等
+      # 该步骤会比较基础分支和当前提交之间的差异，检测新增内容中是否包含敏感数据
+      - name: TruffleHog OSS
+        uses: trufflesecurity/trufflehog@v3.92.5
+        with:
+          # 扫描路径，. 表示扫描整个仓库
+          path: .
+          # 基础提交哈希，用于与当前提交进行比较
+          base: ${{ github.event.before }}
+          # 当前提交哈希，作为扫描的目标版本
+          head: ${{ github.sha }}
 
       # 安装和配置.NET SDK版本9.0.x
       - name: Setup .NET