怎么在github上看密钥
作为开发人员,如果发现刚刚将敏感文件或机密公开给公共git存储库,则需要执行一些非常重要的步骤。
什么是秘密? 在本文档中,当我们使用“秘密”一词时,我们指的是用于认证或授权自己的任何事物,最常见的是API密钥,数据库凭证或安全证书。
第一步,呼吸:在大多数情况下,如果您认真遵循本指南,则只需几分钟即可消除大部分潜在损害。 这篇文章将介绍消除风险并确保将来不会发生的四个步骤。
- 撤销机密或凭据
- (可选)永久删除泄漏的所有证据
- 检查入侵者的访问日志
- 实施未来的工具和最佳实践
如果删除文件或存储库,那么我安全吗?
抱歉不行。 如果将存储库设为私有或删除文件,则可以降低新发现有人泄漏的风险,但现实情况是,对于那些知道要查找的人,您的文件很可能仍然存在。 Git会保留您所做的所有操作的历史记录,因此即使删除该文件,该文件仍将存在于git历史记录中。 即使将存储库设为私有,删除您的历史记录或什至删除整个存储库,您的秘密仍然会受到威胁。
有很容易的方法来监视公共git存储库,例如,GitHub有一个公共API,您可以在其中监视每个进行的git提交。 这意味着任何人都可以(并且确实可以)监视此API,以在存储库中查找凭据和敏感信息。 出于这个原因,最好假设如果您泄露了一个秘密,它将永远被泄露。
将机密泄漏到GitHub上,然后将其删除,就像不小心发布了一个令人尴尬的推文,将其删除并只是希望没人看到它或拍摄屏幕截图一样。
步骤1.撤销秘密并消除风险
我们需要做的第一件事是确保您公开的秘密不再有效,因此没有人可以利用它。
如果您需要有关如何撤消密钥的具