لقد قمت بنشر كلمة المرور / مفتاح API الخاص بي على GitHub

أو GitLab ، أو أي نظام أساسي آخر لإدارة التحكم في المصادر العامة. ماذا الآن؟

عثرت بالصدفة على موقع ويب يقوم بالمسح باستمرارجيثب، GitLab و BitBucket ، الأماكن الثلاثة الأكثر شيوعًا لاستضافة كود المصدر علنًا ، ويظهر لك كلمات مرور SSH الملتزمة ومفاتيح API للخدمات المشتركة وقواعد البيانات وما إلى ذلك.

Image of passwords

إنه مخيف ، أليس كذلك؟

ارفع يدك إذا لم يحدث لك ذلك. يمكننا أن نرتكب الأخطاء. وعندما يحدث هذا ، لا توجد طريقة أخرى غير إبطال كلمة المرور أو مفتاح واجهة برمجة التطبيقات الذي تم الكشف عنه للجمهور بسرعة.

للأشخاص الجددشخص سخيف: لا يمكنك فقط التراجع عن الالتزام ، لأنه سيظل محفوظًا في محفوظات المستودع.

سمعتك ، سمعة مشروعك ، أمن المستخدمين على المحك

بعد إصلاح حالة الطوارئ ، فإن المشكلة هي: كيفية منع المشكلة؟ ماهي الاجابة؟ ما هو الحل الذي يمكن أن يساعدنا في تجنب الكشف عن أسرار لمستودع Git المتاح للجمهور؟

الجواب: سير العمل والأدوات.

أولاً ، لا تقم أبدًا بإضافة مفاتيح API أو كلمات المرور داخل شفرة المصدر. يمكنهم الاختباء هناك بهدوء. بدلاً من ذلك ، قم دائمًا بإضافتها إلى ملف.envملف في المجلد الجذر للمشروع ، وإضافة.envلك.gitignoreملف ، لذلك لن يتم الالتزام به أبدًا. استخدم أداة مثلدوتنفللوصول إليها.

يستخدمgit-secrets، وهي أداة ستساعدك على تجنب ارتكاب أسرار لـ Git.

في macOS تقوم بتثبيته باستخدام Homebrew:

brew install git-secrets

ثم انتقل إلى داخل المستودع الذي تريد تنشيطه عليه ، وقم بتشغيله

git secrets --install

لتثبيت ربط Git للالتزام المسبق. سيضمن ذلك تشغيل الأداة قبل قيام Git بالالتزام بإعادة الشراء.

إذا كنت تستخدم Amazon Web Services (AWS) ، فقم بتشغيل هذا الأمر لإضافة مجموعة الأنماط المستخدمة بواسطة بيانات اعتماد تلك الخدمات:

git secrets --register-aws

يمكنك البحث فورًا عن المشكلات باستخدام

git secrets --scan

من الناحية المثالية ، يجب ألا تطبع الأداة أي شيء. ولكن إذا كانت لديك مشكلات ، فستوفر لك الكثير من التفاصيل.


المزيد من دروس git:


Tech Wiki على الإنترنت!