AI コーディング時の secrets 漏洩を止める — Gitleaks と TruffleHog の役割分担

Claude Code がコードを書く時代、最も怖いのは「AI がうっかり API キーを記事や PR に貼る」事故。事前検知に有効なのが Gitleaks と TruffleHog で、合計 5.1 万 GitHub stars の業界標準ツール。本稿は両者の違いと、「pre-commit に Gitleaks、CI に TruffleHog」という現場のベストプラクティスを実装ベースで整理する。

なぜ「両方」を使うのか

両ツールは似て見えるが性質が違う。

| 項目 | Gitleaks | TruffleHog | |---|---|---| | 速度 | 数百ミリ秒（pre-commit 向き） | 数秒〜数十秒 | | 検出方式 | 正規表現中心 | 正規表現 + **credential verification（実在検証）** | | 出力 | SARIF（GitH