本地扫描 .env、配置片段和 CI 日志中的 API key、token、私钥、JWT 和数据库 URL。
- 本地处理
- 分类 开发运维
- 适合 格式化、校验、压缩或检查和代码相关的文本。
在浏览器本地运行, 文件不会上传。文本上限: 8 MB。
发现
4
Critical
0
High
3
Medium
1
提醒
- 发现疑似密钥。请轮换真实密钥, 不要把完整值分享给他人。
这个工具能做什么
ENV 密钥扫描器会检查粘贴的配置文本中的常见凭证模式, 不会把内容发出去。它能识别私钥块、AWS access key ID、GitHub token、Stripe secret key、Slack token、Google API key、OpenAI 风格 API key、JWT、数据库 URL, 以及常见 secret、token、password、api key、client secret 赋值。发现项默认打码, 报告可以更安全地分享给同事。它适合提交 .env 示例前、发布文档前、共享 CI 日志前、发送支持包前和复核疑似泄漏片段时使用。它不是企业级完整密钥扫描系统, 但能覆盖开发流程里最常见的高风险模式。
工具细节
- 输入
- 文件 + 文本 + 数值
- 页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
- 输出
- 即时结果 + 复制 + 下载
- 结果区优先给出可操作结果,支持项会显示复制、下载或可视化预览。
- 隐私
- 浏览器本地处理
- 主工具逻辑未发现外部 API 调用,输入通常留在当前标签页内处理。
- 保存 / 分享
- 可分享链接状态
- 关键设置会进入 URL,复制链接后别人能复现同一组参数。
- 性能预算
- 首屏 JS ≤ 118 KB
- 没有声明 WASM 依赖,适合快速打开和移动端使用。
- 适用场景
- 开发运维 · 程序员
- 分类和职业标签用于推荐相关工具、组织内链,并帮助用户快速判断是否适合当前任务。
怎么用
-
1. 输入
把内容粘贴或拖入工具面板。
-
2. 处理
点击按钮,在浏览器内本地处理,文件不上传。
-
3. 复制 / 下载
一键复制结果或下载到本地。
ENV 密钥扫描器 适合怎么用
适合穿插在写代码、查问题、做 Review、上线前的小任务里。
适合开发场景
- 格式化、校验、压缩或检查和代码相关的文本。
- 把片段整理好再放进文档、工单、提交或交接材料。
- 不切换工具,快速检查一个小 payload。
开发检查项
- 压缩、混淆这类不可逆处理,先对副本操作。
- 除非确认工具本地处理,不要粘贴密钥和敏感片段。
- 转换后的代码上线前,仍要跑自己的测试或 lint。
下一步可以接着做
这些入口会把当前任务接到更完整的工具链里。
真实使用场景
外发日志前检查
粘贴 CI、部署或支持日志, 在发送前确认明显 token 已被发现和打码。
提交 .env 示例前复核
找出误放进示例配置里的真实凭证或看起来像真实凭证的值。
常见踩坑
部署失败后直接外发 CI 日志, 没检查展开后的环境变量。
以为文档示例里的 key 都只是占位符, 没确认是否是真实值。
隐私说明
扫描器会打码并在本地运行, 但真实凭证如果已经在别处暴露, 仍应轮换。
常见问题
类似工具组合
做你这行的人, 还会一起用这些。