Fitten Code安全合规扫描：使用AI检测代码中的敏感硬编码密钥

坦白说，在提交代码之前，花几分钟做一次敏感信息扫描，远比事后被运维找上门要省心得多。硬编码的密钥、密码或者令牌，一旦疏漏进了生产环境，那后果想想就头大。Fitten Code 这个插件内置的安全扫描能力，可以直接在 VS Code 里搞定这个事，不用再额外部署扫描工具或者切换平台。

启用Fitten Code敏感信息扫描功能

打开 VS Code，确保已经装好 Fitten Code 插件（版本号要 ≥1.8.4），并且完成登录。如果还没登录，右下角状态栏大概率会弹出一个提示框，点进去按流程注册或者扫码登录就行了。

进入设置界面（快捷键 Ctrl+,），在搜索框里输入“fitten security”，找到“Fitten Code: Enable Sensitive Scan”这个选项，把它勾上。关键就在这里——这个开关默认是关闭的，

。

搞定之后重启 VS Code，让配置生效。重启完，编辑器状态栏右侧会多出一个盾牌图标，鼠标悬停上去会显示“Security Scan: ON”，这就代表扫描模块已经准备好工作了。

手动触发单文件密钥扫描

在资源管理器里右键点某个 .ja va、.py 或 .js 文件，选择“Fitten Code: Scan for Hardcoded Secrets”。扫描结果会以悬浮面板的形式弹出来，把所有匹配项和风险等级列得清清楚楚。

也可以按 Ctrl+Shift+P（Windows/Linux）或者 Cmd+Shift+P（macOS），输入“Fitten: Run Secret Scan”然后回车执行。这个操作真的不多余——它既可以用于已保存的项目文件，也支持未保存的临时代码块，非常灵活。

需要留意的是：单文件扫描只针对当前打开的文件内容，不会递归扫描整个工作区。如果你需要批量检测，直接看下一节的工程级扫描。

全项目硬编码密钥批量扫描

在 VS Code 里通过“File → Open Folder”打开完整的项目根目录，确认资源管理器中能看到所有子文件夹和源码文件。如果项目是多模块的 Ma ven/Gradle 工程，一定要打开最外层的父目录，否则子模块会被忽略掉。

点击左侧活动栏的 Fitten Code 图标，在顶部工具栏选择“Scan Workspace”，弹窗里勾选“Detect hardcoded credentials only”，然后点“Start Scan”。扫描过程中会实时显示进度条和已经检出的文件数。

扫描完成后，问题列表会自动展开在侧边栏的“Problems”面板里。每条记录都包含文件路径、行号、匹配模式（比如 AWS_ACCESS_KEY_ID）和熵值评分（≥4.5 的话可信度比较高）。双击任意一项可以直接跳转到对应的代码行。

在 Problems 面板空白处右键，选择“Export as JSON”，保存为 secrets-report-$(date +%Y%m%d).json 文件。这个文件里包含完整的上下文快照，需要做合规审计的时候拿出来用非常方便。