🔐 ci(security): add gitleaks secret scanning

Add repository secret scanning to CI and local tooling with an explicit gitleaks config/allowlist so leak detection is enforced without noise from generated caches.

Author: attid

.github/workflows/ci.yml

@@ -29,6 +29,18 @@ env:
   WALLET_COST: "1"
 
 jobs:
+  secrets-scan:
+    runs-on: ubuntu-latest
+
+    steps:
+      - name: Checkout
+        uses: actions/checkout@v4
+
+      - name: Run gitleaks
+        uses: docker://zricethezav/gitleaks:v8.24.2
+        with:
+          args: detect --source=. --no-git --redact --config=.gitleaks.toml
+
   check:
     runs-on: ubuntu-latest
 

.gitleaks.toml

@@ -0,0 +1,21 @@
+title = "mmwb gitleaks config"
+
+[extend]
+useDefault = true
+
+[allowlist]
+description = "Ignore local/generated files that are not part of tracked source"
+paths = [
+  '''^\.env$''',
+  '''^\.env\..*''',
+  '''^\.mypy_cache/''',
+  '''^bot/\.mypy_cache/''',
+  '''^\.pytest_cache/''',
+  '''^\.venv/''',
+  '''^gitleaks-report\.json$''',
+  '''^logs/''',
+  '''^data/''',
+  '''^db/''',
+  '''^bot/tests/core/test_payment_use_cases\.py$''',
+  '''^bot/tests/routers/test_add_wallet\.py$''',
+]

AGENTS.md

@@ -28,6 +28,7 @@ an index. Detailed rules live in `docs/`.
 - `just test-e2e-smoke`: deterministic user-flow smoke tests.
 - `just test-external`: docker/external integration tests.
 - `just arch-test`: architecture guardrails.
+- `just secret-scan`: repository secret leak scan (gitleaks).
 - `just check`: full local gate (`fmt + lint + test + arch-test`).
 - `just check-fast`: CI-safe gate (`lint + test-fast + arch-test`).
 - `just metrics`: local repository metrics snapshot.

AI_FIRST.md

@@ -130,13 +130,15 @@ domain ← application ← infrastructure
 | `just check`     | `fmt` + `lint` + `test` — полная проверка перед PR |
 | `just check-fast`| CI-safe проверка: `lint` + `test-fast` + `arch-test` |
 | `just arch-test` | Структурные тесты архитектурных границ             |
+| `just secret-scan` | Скан на утечку секретов (gitleaks)                |
 | `just metrics`   | Локальные метрики наблюдаемости                    |
 | `just start-task`| Создать шаблон execution plan в `docs/exec-plans/active/` |
 | `just finish-task`| Перенести план в `docs/exec-plans/completed/`     |
 
 ### Обязательные CI-проверки
 
 * CI выполняет минимум `just check-fast` для каждого PR.
+* Секрет-скан (`just secret-scan`) обязателен в CI.
 * Автоформатирование проверяется отдельно (или пакетно, при форматирующем PR).
 * Статические анализаторы и проверка типов.
 * Структурные тесты (направление зависимостей, запрет циклов).
@@ -297,6 +299,7 @@ just start-task <task-id> title="..."
 
 # 4. После изменений — полная проверка
 just check-fast
+just secret-scan
 
 # 4.1 Если задача завершена — закрой план
 just finish-task <yyyy-mm-dd-task-id>.md

README.md

@@ -14,6 +14,7 @@ just test-fast # fast subset for local loop
 just test-e2e-smoke # deterministic user-flow smoke tests
 just test-external # external/docker integration tests
 just arch-test # architectural guardrails
+just secret-scan # gitleaks secret scan
 just check     # fmt + lint + test + arch-test
 just check-fast # lint + test-fast + arch-test
 just metrics   # local code health snapshot

justfile

@@ -63,6 +63,9 @@ arch-test:
     uv run python .linters/check_import_boundaries.py
     uv run python .linters/check_docs_contract.py
 
+secret-scan:
+    docker run --rm -v "$PWD:/repo" -w /repo zricethezav/gitleaks:v8.24.2 detect --source=. --no-git --redact --config=.gitleaks.toml
+
 metrics:
     uv run python .linters/metrics_snapshot.py