私はclaude-code-transcriptsというツールを使って、ローカルのClaude Codeセッションの文字起こしを公開するのが好きです。でも、詳細なログファイルの中にAPIキーや類似のシークレットがうっかり露出してしまうのではないか、と私はよく不安になります。

そこで安心材料として、今回の新しいPythonスキャンツールを作りました。ここにシークレットを与えて、指定したディレクトリ内でそれらをスキャンできます:

uvx scan-for-secrets $OPENAI_API_KEY -d logs-to-publish/

-dを省略すると、現在のディレクトリが対象になります。

これは、シークレットの“そのままの”文字列だけをスキャンするのではありません。たとえばバックスラッシュやJSONのエスケープのような、それらのシークレットによくあるエンコーディングもスキャンします。READMEで説明されているとおりです。

常に保護しておきたいシークレットがいくつかあるなら、~/.scan-for-secrets.conf.shファイルの中で、それらをエコーするコマンドを列挙できます。私のものはこんな感じです:

llm keys get openai
llm keys get anthropic
llm keys get gemini
llm keys get mistral
awk -F= '/aws_secret_access_key/{print $2}' ~/.aws/credentials | xargs

私はREADME駆動開発（README-driven-development）でこのツールを作りました。まず、ツールがどう動くべきかを正確に説明するREADMEを慎重に組み立て、その後それをClaude Codeに投入し、実際のツールを構築するよう指示しました（もちろんred/green TDDを使っています。）