怎么在github上看密钥

怎么在github上看密钥

怎么在github上看密钥

作为开发人员，如果发现刚刚将敏感文件或机密公开给公共git存储库，则需要执行一些非常重要的步骤。

什么是秘密？ 在本文档中，当我们使用“秘密”一词时，我们指的是用于认证或授权自己的任何事物，最常见的是API密钥，数据库凭证或安全证书。

第一步，呼吸：在大多数情况下，如果您认真遵循本指南，则只需几分钟即可消除大部分潜在损害。 这篇文章将介绍消除风险并确保将来不会发生的四个步骤。

1. 撤销机密或凭据
2. （可选）永久删除泄漏的所有证据
3. 检查入侵者的访问日志
4. 实施未来的工具和最佳实践

如果删除文件或存储库，那么我安全吗？

抱歉不行。 如果将存储库设为私有或删除文件，则可以降低新发现有人泄漏的风险，但现实情况是，对于那些知道要查找的人，您的文件很可能仍然存在。 Git会保留您所做的所有操作的历史记录，因此即使删除该文件，该文件仍将存在于git历史记录中。 即使将存储库设为私有，删除您的历史记录或什至删除整个存储库，您的秘密仍然会受到威胁。

有很容易的方法来监视公共git存储库，例如，GitHub有一个公共API，您可以在其中监视每个进行的git提交。 这意味着任何人都可以（并且确实可以）监视此API，以在存储库中查找凭据和敏感信息。 出于这个原因，最好假设如果您泄露了一个秘密，它将永远被泄露。

将机密泄漏到GitHub上，然后将其删除，就像不小心发布了一个令人尴尬的推文，将其删除并只是希望没人看到它或拍摄屏幕截图一样。

步骤1.撤销秘密并消除风险

我们需要做的第一件事是确保您公开的秘密不再有效，因此没有人可以利用它。

如果您需要有关如何撤消密钥的具体建议，请参阅我们的