怎么在github上看密钥_在GitHub上公开秘密:泄露凭证和API密钥后该怎么办

最新推荐文章于 2024-03-24 09:41:57 发布
最新推荐文章于 2024-03-24 09:41:57 发布
阅读量1.5k 收藏
点赞数
文章标签: 数据库 java git github python
原文链接:https://hackernoon.com/exposing-secrets-on-github-what-to-do-after-leaking-credentials-and-api-keys-58dy3yqp
版权
本文介绍了开发人员在意外将敏感文件或机密公开到公共git存储库后应采取的重要步骤,包括撤销秘密、消除风险、检查访问日志以及采取未来防护措施。建议使用GitGuardian等工具进行实时监控,并遵循API最佳实践。
摘要由CSDN通过智能技术生成

怎么在github上看密钥

作为开发人员,如果发现刚刚将敏感文件或机密公开给公共git存储库,则需要执行一些非常重要的步骤。

什么是秘密? 在本文档中,当我们使用“秘密”一词时,我们指的是用于认证或授权自己的任何事物,最常见的是API密钥,数据库凭证或安全证书。

第一步,呼吸:在大多数情况下,如果您认真遵循本指南,则只需几分钟即可消除大部分潜在损害。 这篇文章将介绍消除风险并确保将来不会发生的四个步骤。

  1. 撤销机密或凭据
  2. (可选)永久删除泄漏的所有证据
  3. 检查入侵者的访问日志
  4. 实施未来的工具和最佳实践

如果删除文件或存储库,那么我安全吗?

抱歉不行。 如果将存储库设为私有或删除文件,则可以降低新发现有人泄漏的风险,但现实情况是,对于那些知道要查找的人,您的文件很可能仍然存在。 Git会保留您所做的所有操作的历史记录,因此即使删除该文件,该文件仍将存在于git历史记录中。 即使将存储库设为私有,删除您的历史记录或什至删除整个存储库,您的秘密仍然会受到威胁。

有很容易的方法来监视公共git存储库,例如,GitHub有一个公共API,您可以在其中监视每个进行的git提交。 这意味着任何人都可以(并且确实可以)监视此API,以在存储库中查找凭据和敏感信息。 出于这个原因,最好假设如果您泄露了一个秘密,它将永远被泄露。

将机密泄漏到GitHub上,然后将其删除,就像不小心发布了一个令人尴尬的推文,将其删除并只是希望没人看到它或拍摄屏幕截图一样。

步骤1.撤销秘密并消除风险

我们需要做的第一件事是确保您公开的秘密不再有效,因此没有人可以利用它。

如果您需要有关如何撤消密钥的具

最低0.47元/天 解锁文章
dfsgwe1231
关注
怎么在github上看密钥_我在GitHub上发布了密码/ API密钥
cuk0051的博客
08-26 1738
怎么在github上看密钥I stumbled on a website that continuously scans GitHub, GitLab and BitBucket, the 3 most common places to host source code publicly, and shows you committed SSH passwords, API keys for co...
GitHub入门与实践(二)——初始设置Git,以及在GitHub中添加公开密钥
可乐淘的专栏
04-18 2212
1、设置姓名和邮箱地址 运行Git Bash,进行如下操作: $ git config --global user.name "your name"                              //输入英文名字,然后按回车 $ git config --global user.email "your_email@email.com"      //输入邮箱地址,然后按回车 通
查看github网站所提供的api
weixin_38282516的博客
10-19 1449
访问如下网址:https://api.github.com 如图:
Git/Github学习笔记】Github私钥的问题
无敌三脚猫的专栏
09-09 1053
之前自己下载了github上高斯模糊的代码(注意不是克隆),做了修改,然后将这个工程文件夹,整体拷贝到了原来的与github建立链接的文件夹中,然后: git add -A git commit -m "更新" git push origin master 但是终端上没有出现输入用户名和用户密码的操作,而是(ubuntu系统下)跳出了要求输入私钥解锁的对话框,之前自己从来没有遇到过,所以尝试了
github在项目中使用的过程,包括账号的创建,密钥的查看
weixin_42924369的博客
10-08 852
项目中使用github的过程,包括账号的创建,密钥的查看 官网:https://github.com/ 1、 注册账号和密码 2、 创建好了之后,新建一个仓库 3、 填写仓库名称及说明,创建仓库即可 4、 在你项目的跟目录,右键打开Git Bash Here(前提是你的电脑安装了git) 5、 新建远端仓库origin,并查看是否创建成功。 这里写的是你github上创建的仓库的SSH(如果使用https的话需要每次都输入用户名和密码) 这里写的是你github上创建的仓库的SSH(如果使用htt
怎么获取 API Key:一步步指南
热门推荐
NHB234567的博客
03-20 1万+
在深入我们的主题之前,让我们先简单了解一下 API Key 到底是什么。API Key 基本上可以认为是一个长字符串,允许 API 消费者(即使用 API 的人)访问受限的功能和数据。它作为一种安全措施,确保了 API 服务能够控制谁有权限访问什么数据,同时也帮助跟踪API的使用情况。
keynuker::locked_with_key::collision:KeyNuker-nuke AWS密钥意外泄露Github
02-03
然而,随着代码的日益复杂化,开发者在使用AWS时可能会不小心将敏感的AWS访问密钥泄露GitHub公开平台。这种疏忽可能导致严重的安全问题,让恶意攻击者有机会滥用这些密钥,对企业的资源造成破坏或盗取数据。为了...
Git Hound - 使用代码搜索关键字在GitHub上查找公开密钥-python
06-18
Git Hound - 使用代码搜索关键字在GitHub上查找公开密钥 GitHound 一个批量捕获、模式匹配、补丁攻击的秘密抓取器。 GitHound 使用模式匹配、提交历史搜索和独特的结果评分系统来精确定位整个 GitHub 中暴露的 ...
在Ubuntu Linux上安装和使用GitGitHub
09-15
### 在Ubuntu Linux上安装和使用GitGitHub #### Git简介 Git是一款开源版本控制系统,由Linux内核创始人Linus Torvalds于2005年发起。它的设计初衷是为了更高效地管理Linux内核的开发过程,如今已经成为全球范围...
gitguardiantest:用于测试gitguardian密码检测
03-18
gitguardiantest 用于测试gitguardian密码检测
gg-shield-action:GitGuardian Shield GitHub操作-在提交中查找公开的凭据
03-20
GitHub操作 使用在提交中查找公开的凭据。 GitGuardian防护(gg-shield)是一个CLI应用程序,可在您的本地环境或CI环境中运行,以帮助您检测200多种类型的机密以及其他潜在的安全漏洞或策略中断。 GitGuardian防护罩通过使用我们的来扫描您的文件并检测代码中的潜在机密或问题。的/v1/scan端点是无状态的。我们将不会存储您正在发送的任何文件或我们检测到的任何机密信息。 要求 在GitGuardian上有一个帐户。 就吧! 在仪表板的“ 上创建一个API密钥。 项目秘密 GITGUARDIAN_API_KEY [必需] :对GitGuardian的API进行身份验证所必需。您可以在存储库设置的“秘密”页面中设置GITGUARDIAN_API_KEY值。您可以创建API密钥。 用法 使用GitGuardian/gg-shield-action操作将新作业添加
gg-shield:检测源代码中的秘密,扫描您的存储库以查找泄漏。 使用GitGuardian查找机密并防止凭据泄漏。 GitGuardian是自动机密检测和修复服务
02-04
:使用GitGuardian保护您的秘密 GitGuardian防护(gg-shield)是一个CLI应用程序,可在您的本地环境或CI环境中运行,以帮助您检测200多种类型的机密以及其他潜在的安全漏洞或策略中断。 GitGuardian防护罩通过使用我们的来扫描文件并检测代码中的潜在机密。 的/v1/scan端点是无状态的。 我们不会存储您正在发送的任何文件或我们检测到的任何秘密。 您还可以通过存储库上的框架使用gg-shield,或者作为全局或本地独立的pre-commit。 您需要的API密钥才能使用gg-shield。 将API密钥添加到您的环境变量中: GITGUARDIA
GShark-监测你的 Github 敏感信息泄露
neal1991的专栏
11-01 1475
近几年由于 Github 信息泄露导致的信息安全事件屡见不鲜,且规模越来越大。就前段时间华住集团旗下酒店开房记录疑似泄露,涉及近5亿个人信息。后面调查发现疑似是华住的程序...
内网渗透之获取明文身份凭证
HWHXY的博客
02-25 861
内网渗透之获取明文身份凭证 0 前言 下文主要是从《从0到1的CTFer成长之路》阅读所做的笔记,处于备忘的目的,主要内容是内网渗透中获取控制主机的明文身份凭证的几种方法,归纳角度从原理和方法两个角度写。。 1 LSA Secret 原理 本地安全策略,存储私有数据,用户和系统的敏感数据都存储在LSA Secrets的注册表中 操作 开始--运行bai--(输入)regedit--回车 Secrets里面存在用户的一些default 方法 先导出注册表项 reg save hklm\sam C:\sa
git查看密钥、生成密钥、初始化用户名及邮箱、查看配置信息
7c
03-20 4535
git查看密钥、生成密钥、初始化用户名及邮箱、查看配置信息...
如何在GitHub上保障开源项目安全?从工具到实践!!!
logic1001的博客
12-26 1061
当有人利用外部供应商或能够访问你的企业的数据和系统的第三方组件来渗透你的数字基础设施时,就会发生软件供应链攻击。供应链攻击的类型多种多样,本文将聚焦于开源供应链。任何人都可以通过开源举措为项目的开发做出贡献。利用这个切入点,黑客可以将漏洞编入开源项目中,当企业将该项目引入其软件中时也引入了新的威胁,而且往往是在不知情的情况下,通过遍历依赖或间接依赖引入。2016年的GitHub Universe上,首次引入GitHub Marketplace。它是一个开发者可以找到集成插件并将其落实到工作流程中的地方。
探索 GitGuardian 的 API 安全最佳实践
最新发布
gitblog_00026的博客
03-24 413
探索 GitGuardian 的 API 安全最佳实践 项目地址:https://gitcode.com/GitGuardian/APISecurityBestPractices GitGuardian 是一个强大的安全工具,专注于保护企业的敏感信息,尤其是 API 密钥和机密数据。其开源项目 APISecurityBestPractices 则提供了一套详细的 API 安全最佳实践指南,旨在帮助...
教你在GitHub上保障开源项目安全?入门到精通
A_991128a的博客
03-07 983
1998年,Christine Peterson创造了“开源软件”这个词。她解释道:“这是刻意为之,为了让其他人更容易理解这个领域”。同年,O’Reilly组织了首届“开源峰会”。开源软件受到更多人青睐原因在于,用户对软件拥有更多的控制权因为他们可以检查代码。对于长期项目来说,开源软件被认为是稳定的,因为这些项目遵循开放的标准,即便维护者停止工作,也不会凭空消失。活跃的开发者社区十分重要。比起闭源软件,开源需要更多地考虑安全问题,因为任何人都可以查看并修改代码。
怎么在在GitHub上配置SSH密钥
06-04
要在GitHub上配置SSH密钥,你可以按照以下步骤进行操作: 1. 生成SSH密钥 在终端中输入以下命令生成SSH密钥: ``` ssh-keygen -t rsa -b 4096 -C "your_email@example.com" ``` 这里的`your_email@example.com`应该替换成你在GitHub上注册的邮箱地址。 2. 添加SSH密钥GitHub 登录GitHub账号,进入“Settings”页面,找到“SSH and GPG keys”选项卡,点击“New SSH key”按钮。 在“Key”文本框中,将刚才生成的SSH公钥复制进去。你可以使用以下命令将公钥复制到剪贴板中: ``` pbcopy < ~/.ssh/id_rsa.pub ``` 然后在GitHub上粘贴即可。 3. 测试SSH连接 输入以下命令测试SSH连接: ``` ssh -T git@github.com ``` 如果连接成功,会显示以下信息: ``` Hi username! You've successfully authenticated, but GitHub does not provide shell access. ``` 现在你已经成功配置了SSH密钥,可以尝试使用SSH协议连接GitHub了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值