关键信息：

• 用于检测组织内部系统中敏感凭证的意外暴露，帮助找到不应存在秘密的地方以防止滥用。
• 被用于 Google Cloud 产品的秘密扫描，如 Artifact Registry 和 Security Command Center (SCC)，支持左右移安全方法。
• 开源安全团队用其扫描数亿开源工件，强调除公共源代码外，其他渠道也存在泄露风险。
• 实现为 Go 库，可直接集成 API 或通过 osv-scalibur 用osv_scalibr.scan命令扫描，当前仅支持 GCP 相关 API 密钥，计划扩展支持其他秘密类型。

重要细节：

• 作为 OSV-SCALIBR 的一部分，与其他工具集成良好。
• 集成到 SCC 可在不同层面进行秘密扫描。
• 强调构建包和 Docker 图像等可能是泄露凭证的来源。
• 已在使用中取得显著成果，能识别和报告大量历史工件中的暴露凭证。
• 可通过特定类和命令进行扫描操作。