パスワード/ APIキーをGitHubに投稿しました

またはGitLab、またはその他のパブリックソース管理プラットフォーム。それで?

継続的にスキャンするウェブサイトに出くわしましたGitHub、GitLabとBitBucketは、ソースコードを公開するための最も一般的な3つの場所であり、コミットされたSSHパスワード、一般的なサービスのAPIキー、データベースなどを示します。

Image of passwords

怖いですよね?

それがあなたに起こらなかったならば、あなたの手を上げてください。私たちは間違いを犯す可能性があります。そして、これが発生した場合、公開されたパスワードまたはAPIキーをすばやく無効にする以外に方法はありません。

初めての方へギット:コミットはリポジトリの履歴に保持されるため、コミットをロールバックすることはできません。

あなたの評判、あなたのプロジェクトの評判、あなたのユーザーのセキュリティが危機に瀕しています。

緊急事態を修正した後の問題は、問題を防ぐ方法です。答えは何ですか?公開されているGitリポジトリへのコミットシークレットを回避するのに役立つソリューションは何ですか?

答えは、ワークフローとツールです。

まず、APIキーやパスワードをソースコード内に追加しないでください。彼らは静かにそこに隠れることができます。代わりに、常にそれらをに追加してください.envプロジェクトのルートフォルダにファイルを追加し、.envあなたに.gitignoreファイルなので、コミットされることはありません。次のようなツールを使用しますdotenvそれらにアクセスします。

使用するgit-secrets、Gitへの秘密のコミットを回避するのに役立つツール。

macOSでは、Homebrewを使用してインストールします。

brew install git-secrets

次に、アクティブ化するリポジトリ内に移動して、実行します

git secrets --install

Gitプリコミットフックをインストールします。これにより、Gitがリポジトリにコミットする前にツールが確実に実行されます。

アマゾンウェブサービス(AWS)を使用している場合は、次のコマンドを実行して、そのサービスの認証情報で使用されるパターンのセットを追加します。

git secrets --register-aws

を使用して問題をすぐにスキャンできます

git secrets --scan

理想的には、ツールは何も印刷しないはずです。ただし、問題が発生した場合は、詳細がわかります。


その他のgitチュートリアル: