硬编码密钥检测：AI安全合规扫描工具

坦白说，在提交代码前抽出几分钟做一次敏感信息扫描，远比事后被运维追着排查要省时省力。硬编码的密钥、密码或令牌一旦流入生产环境，后果不堪设想。Fitten Code 插件内置的安全扫描功能，直接在 VS Code 里完成这项检查，无需额外部署扫描工具或切换平台。

启用Fitten Code敏感信息扫描功能

打开 VS Code，确认已安装 Fitten Code 插件（版本号需 ≥1.8.4）并完成登录。若未登录，右下角状态栏通常会弹出提示框，点击后按流程注册或扫码登录即可。

进入设置界面（快捷键 Ctrl+,），在搜索框输入“fitten security”，找到“Fitten Code: Enable Sensitive Scan”选项并勾选。关键点在于——该选项默认关闭，不手动开启，后续所有扫描功能都不会生效。

完成配置后重启 VS Code，使设置生效。重启后，编辑器状态栏右侧会多出一个盾牌图标，鼠标悬停时显示“Security Scan: ON”，代表扫描模块已就绪。

手动触发单文件密钥扫描

方法一：右键菜单快捷扫描

在资源管理器中右键点击某个 .ja va、.py 或 .js 文件，选择“Fitten Code: Scan for Hardcoded Secrets”。扫描结果以悬浮面板展示，列出所有匹配项及风险等级，一目了然。

方法二：命令面板精准调用

也可按 Ctrl+Shift+P（Windows/Linux）或 Cmd+Shift+P（macOS），输入“Fitten: Run Secret Scan”后回车执行。这个操作并不过时——它既可用于已保存的项目文件，也支持未保存的临时代码块，相当灵活。

注意：单文件扫描仅针对当前打开的文件内容，不会递归扫描整个工作区。如需批量检测，请直接看下一节的工程级扫描。

全项目硬编码密钥批量扫描

第一步：确保工作区正确加载

在 VS Code 中通过“File → Open Folder”打开完整的项目根目录，确认资源管理器中能看到所有子文件夹和源码文件。若项目为多模块的 Ma ven/Gradle 工程，务必打开最外层父目录，否则子模块会被忽略。

第二步：启动工程级扫描

点击左侧活动栏的 Fitten Code 图标，在顶部工具栏选择“Scan Workspace”，弹窗中勾选“Detect hardcoded credentials only”，然后点击“Start Scan”。扫描过程中实时显示进度条和已检出的文件数。

第三步：定位并修复高危项

扫描完成后，问题列表自动展开在侧边栏的“Problems”面板中。每条记录包含文件路径、行号、匹配模式（例如 AWS_ACCESS_KEY_ID）和熵值评分（≥4.5 时可信度较高）。双击任意项可直接跳转到对应代码行。特别提醒：不要直接删除密钥字符串——正确的做法是替换为环境变量或调用密钥管理服务。

第四步：导出扫描报告（可选）

在 Problems 面板空白处右键，选择“Export as JSON”，保存为 secrets-report-$(date +%Y%m%d).json 文件。该文件包含完整的上下文快照，做合规审计时直接拿来用非常方便。