またはGitLab、またはその他のパブリックソース管理プラットフォーム。それで?
継続的にスキャンするウェブサイトに出くわしましたGitHub、GitLabとBitBucketは、ソースコードを公開するための最も一般的な3つの場所であり、コミットされたSSHパスワード、一般的なサービスのAPIキー、データベースなどを示します。
怖いですよね?
それがあなたに起こらなかったならば、あなたの手を上げてください。私たちは間違いを犯す可能性があります。そして、これが発生した場合、公開されたパスワードまたはAPIキーをすばやく無効にする以外に方法はありません。
初めての方へギット:コミットはリポジトリの履歴に保持されるため、コミットをロールバックすることはできません。
あなたの評判、あなたのプロジェクトの評判、あなたのユーザーのセキュリティが危機に瀕しています。
緊急事態を修正した後の問題は、問題を防ぐ方法です。答えは何ですか?公開されているGitリポジトリへのコミットシークレットを回避するのに役立つソリューションは何ですか?
答えは、ワークフローとツールです。
まず、APIキーやパスワードをソースコード内に追加しないでください。彼らは静かにそこに隠れることができます。代わりに、常にそれらをに追加してください.env
プロジェクトのルートフォルダにファイルを追加し、.env
あなたに.gitignore
ファイルなので、コミットされることはありません。次のようなツールを使用しますdotenvそれらにアクセスします。
使用するgit-secrets
、Gitへの秘密のコミットを回避するのに役立つツール。
macOSでは、Homebrewを使用してインストールします。
brew install git-secrets
次に、アクティブ化するリポジトリ内に移動して、実行します
git secrets --install
Gitプリコミットフックをインストールします。これにより、Gitがリポジトリにコミットする前にツールが確実に実行されます。
アマゾンウェブサービス(AWS)を使用している場合は、次のコマンドを実行して、そのサービスの認証情報で使用されるパターンのセットを追加します。
git secrets --register-aws
を使用して問題をすぐにスキャンできます
git secrets --scan
理想的には、ツールは何も印刷しないはずです。ただし、問題が発生した場合は、詳細がわかります。
その他のgitチュートリアル:
- Gitチートシート
- 複数のブランチでの作業を管理するためのGitワークフロー
- Gitサブリポジトリを処理する簡単な方法
- 優れたGitチュートリアルの不完全なリスト
- 開発者によるGitHubの紹介
- 完全なGitガイド
- gitbisectを使用してバグを発見する方法
- GitHubで最初のプルリクエストを行う方法
- 別のブランチからGitブランチを更新する方法
- パスワード/ APIキーをGitHubに投稿しました
- Gitを押しつぶすコミット
- Gitリモートを削除する方法