أو GitLab ، أو أي نظام أساسي آخر لإدارة التحكم في المصادر العامة. ماذا الآن؟
عثرت بالصدفة على موقع ويب يقوم بالمسح باستمرارجيثب، GitLab و BitBucket ، الأماكن الثلاثة الأكثر شيوعًا لاستضافة كود المصدر علنًا ، ويظهر لك كلمات مرور SSH الملتزمة ومفاتيح API للخدمات المشتركة وقواعد البيانات وما إلى ذلك.
إنه مخيف ، أليس كذلك؟
ارفع يدك إذا لم يحدث لك ذلك. يمكننا أن نرتكب الأخطاء. وعندما يحدث هذا ، لا توجد طريقة أخرى غير إبطال كلمة المرور أو مفتاح واجهة برمجة التطبيقات الذي تم الكشف عنه للجمهور بسرعة.
للأشخاص الجددشخص سخيف: لا يمكنك فقط التراجع عن الالتزام ، لأنه سيظل محفوظًا في محفوظات المستودع.
سمعتك ، سمعة مشروعك ، أمن المستخدمين على المحك
بعد إصلاح حالة الطوارئ ، فإن المشكلة هي: كيفية منع المشكلة؟ ماهي الاجابة؟ ما هو الحل الذي يمكن أن يساعدنا في تجنب الكشف عن أسرار لمستودع Git المتاح للجمهور؟
الجواب: سير العمل والأدوات.
أولاً ، لا تقم أبدًا بإضافة مفاتيح API أو كلمات المرور داخل شفرة المصدر. يمكنهم الاختباء هناك بهدوء. بدلاً من ذلك ، قم دائمًا بإضافتها إلى ملف.env
ملف في المجلد الجذر للمشروع ، وإضافة.env
لك.gitignore
ملف ، لذلك لن يتم الالتزام به أبدًا. استخدم أداة مثلدوتنفللوصول إليها.
يستخدمgit-secrets
، وهي أداة ستساعدك على تجنب ارتكاب أسرار لـ Git.
في macOS تقوم بتثبيته باستخدام Homebrew:
brew install git-secrets
ثم انتقل إلى داخل المستودع الذي تريد تنشيطه عليه ، وقم بتشغيله
git secrets --install
لتثبيت ربط Git للالتزام المسبق. سيضمن ذلك تشغيل الأداة قبل قيام Git بالالتزام بإعادة الشراء.
إذا كنت تستخدم Amazon Web Services (AWS) ، فقم بتشغيل هذا الأمر لإضافة مجموعة الأنماط المستخدمة بواسطة بيانات اعتماد تلك الخدمات:
git secrets --register-aws
يمكنك البحث فورًا عن المشكلات باستخدام
git secrets --scan
من الناحية المثالية ، يجب ألا تطبع الأداة أي شيء. ولكن إذا كانت لديك مشكلات ، فستوفر لك الكثير من التفاصيل.
المزيد من دروس git:
- ورقة غش بوابة
- Git workflow لإدارة العمل على عدة فروع
- طريقة سهلة للتعامل مع التراكيب الفرعية Git
- قائمة غير كاملة من دروس Git الرائعة
- مقدمة للمطور عن GitHub
- دليل Git الكامل
- كيفية اكتشاف خطأ باستخدام git bisect
- كيفية إجراء أول طلب سحب لك على GitHub
- كيفية تحديث فرع Git من فرع آخر
- لقد قمت بنشر كلمة المرور / مفتاح API الخاص بي على GitHub
- سحق Git يرتكب
- كيفية إزالة Git remote