敏感数据暴露 留给Git的时间仅需20秒

大家可能都会面临这样直冒冷汗的情形：在使用Git进行版本控制时不小心推送了重要的密钥或超大文件？要知道，在敏感数据公开暴露20秒后，再去删除这些密钥可能已经为时太晚了！

人非圣贤，孰能无过？本文会分享介绍几个笔者在用的好技巧，这样在Git时，再也不用担惊受怕了。

一、永远不要推送非必要的文件和信息

Git中一类不需要的内容是非常大的文件。如果不小心提交了一个大文件到存储库，这肯定会限制你拉取或推送文件所需的时间；如果文件大于100MB，甚至还会显示错误。

我能进行另一个提交后删除它吗？

不。事实上，这比刚才的那件事还要危险。不要天真地以为，当他们从存储库中删除文件后，文件再也访问不了。这正是Git的用途所在。它会跟踪你的文件版本历史记录，以便你在想要恢复更改时可以恢复。

通过以下列方式进行提交以删除文件，你无异于将网上的陌生人引向存放密文的位置。

$ git commit –m “Remove api key”

只需你搜索一下，就可以看到这有多频繁。更明确地说，截止2023年1月5日笔者撰写这篇文章期间，在GitHub上搜索查询“remove api key”，返回了100万+提交，查询“remove password”返回了735K+提交。

随着ChatGPT大行其道，人们试图编写Python脚本来试用它，我发现无数的OpenAI API密钥散布在GitHub的各个角落。

这将引发严重后果！

二、那该怎么办？

当我们考虑从Git历史记录中删除提交时，首先想到的是立即将分支的顶端更改为旧的提交。这使我们安全地回到密钥不存在于存储库中的时候。

1 $ git reset <SHA1>

2 $ git commit -am message

3 $ git push -f <remote-name> <branch-name>

1.但已有一段时间了，是否为时太晚？

好吧，如果你遇到的问题与大文件有关，总是可以使用git filter-branch从历史记录中删除过去的信息/文件。此外，还有一个极好极简单的方法，我常常使用它。

见识一下BFG-Repo-Cleaner！这是一个用Scala编写的工具，可以删除大文件（比如预训练的模型或无法丢弃的大PDF文件）或麻烦的blob（比如API密钥、密码和密文），其功能就像git filter-branch，但速度更快。

GitHub的官方推荐也建议使用BFG-Repo-Cleaner来清除文件。

说明：我最近被告知git filter-branch已被弃用。现在可以使用git filter-repo或直接使用上面提到的BFG工具。

2.可以松口气了吗？

不，还不能松口气。当然，你可以随时使用这个工具删除大文件。然而，在将不必要的凭据推送到公共存储库之前，仍然应该小心为好。如果你最近在GitHub上泄露了密文，应该尽快用上面提到的工具收回密文。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!