git clone 一部分_别再往 Git 仓库中放敏感信息了,不安全!

最新推荐文章于 2024-05-16 10:21:48 发布
最新推荐文章于 2024-05-16 10:21:48 发布
阅读量512 收藏
点赞数
文章标签: git clone 一部分 git敏感信息脚本
点击▲关注 “IT168企业级”给公众号置顶 更多精彩 第一时间直达

为什么要避免将敏感信息存储在git中?

不要在git仓库中存储任何敏感信息,并且要不惜一切代价这样做,即使仓库是私有的,也不应该将其视为存储敏感信息的安全场所,首先让我们了解为什么它存储敏感信息不安全。 git上如果你将你的仓库声明为public的,那么任何一个人都可以访问你仓库的内容,不仅如此,还可以游览仓库中的所有代码,甚至可以运行它。如果你将你的API秘钥存储在仓库中,那么任何人都可以拿到。 即使是存储在私有仓库,也会面临风险。当你与第三方程序集成的时候,你可能正在向第三方应用打开私有仓库。这些应用程序时可以访问你的私有仓库并阅读其中包含的信息。攻击者就有可能伪装成这些第三方应用来获取你的机密数据(API key,数据库密码等等)。

使用git-crypt来加密你的敏感数据

git-crypt可以在git仓库中对数据进行透明的加解密。你选择保护的文件在提交时会加密,而在检出时会解密。git-crypt使开发者可以自由共享包含公共和私有内容混合的存储库。
git-crypt会正常降级,因此没有密钥的开发人员仍然可以克隆并提交到包含加密文件的存储库。这样一来,就可以将机密资料(例如密钥或密码)与代码存储在同一存储库中,而无需锁定整个仓库。 接下来我会演示如下如何使用git-crypt保护我的重要数据。
https://github.com/AGWA/git-crypt
安装git-crypt
mac和linux上安装git-crypt都比较简单,windows上比较麻烦,不过有人已经把安装包搞定了,大家可以去这里 下载(https://gitee.com/pharaoh/git-crypt-win) ,当然我后面的仓库中也有。下载下来的是一个exe文件,放到环境变量中即可。
首先clone一个需要使用git-crypt的仓库,我的仓库中有2个文件,其中secret.properties是存放敏感数据的文件
$ tree|-- DbInfo
|   `-- secret.properties
`-- index.html
仓库地址是: https://github.com/generalthink/git-crypt-test DbInfo目录中secret.properties内容如下 
$ cat DbInfo/secret.properties
mysql.ip=locahost
mysql.port=3306
然后初始化你的存储库以便于使用git-crypt,它将生成一个密钥并使得当前的Git存储库可以使用git-crypt
git-crypt init
检查文件状态
git-crypt status
21f3c71f29f068e8ad2ffe406de7de13.png 查看状态 你可以看到所有的文件都没有被加密
通过创建gitattributes文件来指定要“加密”的文件。你要为每个要加密的文件分配“ filter = git-crypt diff = git-crypt”属性
<file-name-to-encrypt> filter=git-crypt diff=git-crypt
需要注意的是,在执行第5步(即将.gitattributes添加到您的存储库)之前,请确保将“敏感文件”移出存储库并提交更改,然后添加.gitattributes文件,然后将“敏感文件”移回存储库。
就像下图这样,首先将敏感文件(在mycase中为secret.properties)移出存储库并提交更改,然后在仓库的根目录中添加.gitattributes,然后将我的“ secret.properties”文件再次添加至仓库。不然,你会收到git抛出的警告错误。
0ec4032041bb96548870ba12dacab273.png 加密
经过上面的步骤之后你的secret.properties已经被加密了,当然在你本地的git仓库你看到的是解密后的数据。将它推送到git仓库就可以看到这是加密的数据了
e88a3f9efeea3d644a053b295f9500ff.png github上的显示
导出秘钥和你的协作者共享
git-crypt export-key <key-to-unlock>
4f26ad925ac751159fd2e5c92b75211f.png 导出秘钥
通过上面的命令,你就可以看到会生成一个git-crypt.key文件,将这个文件分发给你的协作者,当他们checkout这个仓库之后就可以用这个秘钥解密了。
别忘了在gitingore文件中忽略 git-crypt.key,以防止意外地将此文件提交到git repo。同时,从这里开始,无论克隆存储库的人是什么,除非他们有解锁它的钥匙,否则他们将无法看到“secret.properties”文件的内容!

如何解密仓库中的加密文件

现在,如果你尝试克隆仓库,将无法在仓库中看到加密文件。就像我克隆了测试仓库(我在我本地电脑的另一个目录中clone的)并尝试打开“ secret.properties(加密文件)”一样,这就是我所看到的!
47fda61d101e3654cc1a0974ff1ed7d6.png 加密后
你还记得吗?解密前我们是可以看到真正内容的。 现在要解密此文件,你必须具有密钥!请要求管理员为你提供密钥。之后,你必须跳入克隆的仓库中执行下面的命令 
git-crypt unlock /path/to/key
147b7c0eb4d7401367660e10085df0a9.png 解密

多说两句

看到这里可能有人会有疑问,开发的时候好使了,那打包的时候咋整呢?这个加密了,在服务器打包之后肯定跑不起来呀,其实解决办法很简单,只需要在打包之前解密就行了。 当然了关于对配置文件加密的方法,还是有很多种的,比如sealed-secrets或者公司内部的加解密服务。 为了便于大家测试我会在将我生成的key提交到git仓库中。

003c1fe74d0738ea8c8f78971d2ff1b5.png

IT168企业级

让一部分人先看到企业IT的未来

微信公众号ID :IT168qiye

weixin_40001967
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
你的代码放在 GitHub 上,真的安全吗?
qq_39620532的博客
03-22 3624
受俄乌冲突的影响,GitHub 目前正在考虑限制俄罗斯开发人员访问开源代码存储的可能性。无独有偶,早在 2019 年,GitHub 就曾经因为美国出台贸易制裁国家名单,对名单上的国家/地区的用户进行过 “封杀”。 2019 年 7 月,微软旗下的 GitHub“限制” 住在乌克兰克里米亚地区的一名开发人员的帐户。这名开发人员利用 GitHub 服务来托管其网站和游戏软件。 GitHub 告诉住在克里米亚的 21 岁俄罗斯公民 Anatoliy Kashkin,“由于美国贸易管制”,GitHub“限
github-clone::down_arrow:git clone repo子目录
02-03
在文件夹中下载文件的请求不计入速率限制,因此在大多数情况下(例如,您要克隆的文件夹/存储的子文件夹少于60个),速率限制应该不是问题。私人仓库要克隆私有存储,您需要为有权访问私有存储的帐户提供...
git clone 一部分_Git详解(二)
weixin_39715187的博客
11-23 778
“在上一篇文章中讲述了git的相关基础,这一篇就会带领大家具体的进行动手操作,让大家在工作中对git有一个更好的理解。”提示:在使用git的时候,你需要对linux脚本命令有所了解,如果你很熟悉vim的话,那么恭喜你接下来的相关内容对你来说会非常简单,当然如果你不会的话,也没关系,照着下面的操作你也可以成功实现。01—git rebase的使用如何修改commit提交(1)首先我在gi...
Git 克隆仓库git clone
qq_33240556的博客
05-16 728
git clone命令用于从远程 Git 仓库下载代码并在本地创建一个副本。这个命令不仅会下载仓库中的所有数据,还会自动创建一个本地的 Git 仓库,并设置好远程仓库作为origin,以便于后续的推送和拉取操作。以下是使用git clone的基本方法和一些常见选项。
git clone 一部分_Git 2.25.0 发布,部分 clone 来了
weixin_39789979的博客
11-29 166
Git 2.25.0 发布了,项目贡献者 Taylor Blau 介绍了此版本带来的一些特性上的亮点,包括部分克隆(partial clone)与稀疏检出(sparse checkout)。partial clone,部分克隆一般来说,Git clone 时副本会复制仓库的所有数据,包括历史记录中每个文件的每个版本,对于非常大的存储,如果只需要文件的一部分,那会无形中增加网络传输和本地存储的成本...
git clone 一部分_git日常使用和常见的命令
weixin_39994296的博客
11-29 218
实际上git使用越来越普及了,当然如果你还是把它当作svn来使用,或者就是只是通过一些图形化工具上几个按钮点一点就失去很多git自身有魅力的地方。首先对照svn或者其他上一代的版本管理工具,我们修改文件不再有“这个文件要不要lock的问题”,要知道之前曾经工作一个单位,通过版本管理工具修改文件不仅要把文件锁上不让别人修改之外,还要把自己的电话信息放进去,这样别人要改的时候,就会打电话给你“放开那个...
git仓库部分文件clone
lijunpeng71的专栏
07-06 2170
git仓库部分文件clone 1.初始化git目录 首先创建和git仓库中主目录相同的文件夹 例如:主目录为 main-work,在本地创建一个main-work文件夹 # 进入main-work文件夹 cd main-work # 执行初始化命令 git init # 查询远端分支,此处应为空 git remote -v #新增远端地址 git remote add origin https://gitee.com/xxxxxx/main-work.git #再次执行git remote -v,此次有两
git_command.zip_git_git command_git commd_git commond_git命令
09-22
1. **初始化仓库**:`git init` - 在当前目录创建一个新的Git仓库。 2. **克隆仓库**:`git clone <url>` - 复制远程仓库到本地。 3. **添加文件**:`git add <filename>` - 将更改添加到暂存区,准备进行提交。 4. ...
git-clone-init:在git clone上自动设置用户身份(user.email user.name)
02-03
Git是世界上最流行的分布式版本控制系统,广泛应用于软件...如果你经常需要处理多个git仓库,这个工具将极大地简化你的工作流程。同时,它也体现了git的强大之处,即通过自定义钩子扩展其功能,满足不同开发者的需求。
git clone 最新版
11-09
安装Git后,`git clone`命令将在你的命令行环境中可用,你可以使用它来克隆任何公开或私有的Git仓库。例如,要克隆GitHub上的项目,你只需提供仓库的HTTPS或SSH URL。 ```shell # 克隆一个GitHub仓库的示例 git ...
windows git 批量 clone 脚本
08-22
在Windows环境中,Git批量操作是开发团队协作中的一项重要任务,尤其当管理多个Git仓库时。本文将深入探讨如何利用批处理脚本来实现这一目标,主要关注标题提及的"windows git 批量 clone 脚本"。我们将讨论每个文件...
git clone 一部分_Git 常见操作
weixin_39722025的博客
11-21 411
一、工作原理参考:Git - Git 基础​git-scm.com传统版本控制系统工作原理:以文件变更列表的方式存储信息,将它们保存的信息看作是一组基本文件和每个文件随时间逐步累积的差异。CVS,Subversion,Perforce,Bazaar等版本控制系统Git版本控制原理:把数据看作是对小型文件系统的一组快照,每次你提交更新,或在 Git 中保存项目状态时,它主要对当时的全部文件制作一个快...
gitgithub连接权限(这是一个简便方法,不是很安全,建议大家还是用ssh解决)...
weixin_30825199的博客
05-05 167
在使用,gitgithub上clone下来代码后。 我们再工作区进行编辑,然后提交。 最后我们想要将我们的改变推送到github上。 但是往往这个时候,我们可能会面临这样的问题。    我们没有权限将代码上传上去。 那怎么办呢? 这里我们可以用一个简单的方法解决:改变git配置文件。(但是呢!这个方法不是很安全,所以,比较着急,且对安全没有什么要求的话,可以用以下配置方法...
git clone 指定某个分支而不是整个版本仓库
热门推荐
桂安俊@KylinOS
10-09 1万+
最近在搭建Gitblit内网仓库时发现一个问题,git clone 只能clone整个仓库,但是如果我只需要仓库里面的某一个分支,这时还需要clone整个仓库就很头疼,下面用这个命令就可实现clone单个分支,我在gitblit内网上传了一个vagrant-test22版本,现在想下载里面的一个branchA分支 一般是这个样:git clone http://admin@192.168.1....
gitlab 删除分支_Gitlab 的安全漏洞是不是太多了点?这次又来了 17 个!!!
weixin_39692254的博客
11-30 373
Gitlab 又又又发布了重要的安全更新补丁 12.4.1, 12.3.6, 和 12.2.9 ,包括社区版和企业版。包含重要的安全更新,官方再次强烈建议所有 Gitlab 用户立即更新!!!看看从今年 7 月份到现在,Gitlab 发布了多少安全补丁更新,每一次官方都是强烈建议立即更新!那么这一次又有什么新漏洞呢?这一次官方一口气发布了 17 个安全漏洞,很多漏洞应该是非常低级的错误...
Github私有仓库免费,会对开源有影响吗
崔斯特的博客
01-09 725
昨天,Github放了大招,个人开发者可以免费创建无限制的私有仓库,价格如下图变化对个人开发者来说,新增`Unlimited private repositories`,也就是无限的私有...
由于最近Github网络不好,我开始想多用Gitee,然后gitee又支持私有仓库,弄得我更想用。
诗筱涵的博客
03-11 747
由于最近Github网络不好,我开始想多用Gitee,然后gitee又支持私有仓库,弄得我更想用。 。
安全基础--28--Git使用说明
武天旭的博客
07-31 388
Git架构 你的本地仓库git维护的三棵“树”组成。 第一个是你的工作目录,它持有实际文件;第二个是缓存区(Index),它像个缓存区域,临时保存你的改动;最后是HEAD,指向你最近一次提交后的结果。 即工作目录 -- git add -- 缓存区 -- git commit -- HEAD Git基本操作 初始化Git仓库git init/...
网站Git仓库暴露及不安全文件权限配置可能引发的的安全问题
m0_59598029的博客
02-13 331
本文记录了从网站的git暴露开始,通过mysql注入webshell等如何一步一步拿到服务器的权限的步骤。在管理网站时要注意git目录的访问控制以及mysql的FILE权限,不要给文件或者目录设置过高的权限。下面是几点安全防范建议:1.不要暴露.git仓库2.不要给过高的权限3.对于某些服务,不要以root用户运行进程4.建立多个mysql用户,且按场景分配权限,比如网站的用户就一般用不到LOAD DATA这种语句,如果要用的话可以新建一个专门用来操作文件的用户。
git init:初始化一个git仓库git cloneclone一个git仓库
最新发布
06-28
这个命令用于创建一个新的Git仓库,即使当前目录下还没有任何版本控制信息。当你在一个项目中首次想要开始使用Git时,通常会执行这个命令来设置项目的基点。 ```shell git init ``` 2. **git clone**: 克隆一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值