Github - 记录一次对“不小心包含了密码的PR”的修复
Github - 记录一次对“不小心包含了密码的PR”的修复
前言
和好朋友一起开发一个字节跳动青训营抖音电商后端(now private)的项目,某大佬不小心把本地一密码commit上去并提了PR。
PR一旦发出则无法被删除,且其包含的commit也能被所有能看到这个仓库的人看到。虽然是本地一密码,泄露了也不是很严重,但最好还是隐藏一下这个信息。
思路
思路为:
- 强制重写本次PR的commits
- 删除评论、Action等所有可能带有“密码泄露sha”的记录
- 加强安全防范
其他人无法得知密码泄露的那次commit的sha,也就无法找到泄露的密码。
实操
强制重写本次PR的commits
其实PR中包含“密码commit”不用惊慌,重写包含密码commit的源分支,与协作者沟通并强制push即可。
但是由于误操等原因,PR被close并且源分支被删除了。于是思路变成了:恢复源分支 -> 重新打开PR -> 强制重写源分支。
这里需要补充一丢丢Github PR的知识:
Pull Request(PR)通常是开发者想将一个分支(源分支)合并到另一个分支(目标分支)从而提交的更改请求。
a分支对b分支的PR在同一时间只能存在一个(关闭的PR除外),提出PR后合并之前任何对a分支的更改都将同步反映到PR上,直到PR被合并或关闭为止。一个PR被强制关闭后,想要重新打开的前提是
a分支依然存在并且还是提PR时候的a分支(另创分支并起名为a、被关闭PR中的commit强制重写过的a分支不算)。
问题是远端(Github)a分支被删除了,还没拉取到本地过,还能恢复这个a分支到PR关闭时的状态(或在此状态上新增了commit的状态)吗?当然可以,这就是Git:
git fetch origin pull/<PR编号>/head:<分支名>
git switch <分支名>
之后就可以push到远端,重新开启PR,本地回滚,隐匿密码,重新commit,强制push到远端,关闭PR并删除远端分支(可选)了。
git push --set-upstream origin <分支名>
gh pr reopen 30
git reset HEAD^
vim config.toml
git add xxx
git commit -s -m "xxx"
git push --force
gh pr close 30 -c "历史已重写"
git push origin --delete <分支名>
删除“密码泄露sha”的出现位置
虽然带有密码的commit被删除了,不会被合并到各个分支中了,变成了“游离”的commit。
但是其他人知道这个commit的sha的话,还是能够访问。
也许Github服务器上什么时候会在git gc的时候清除这个commit,但暂未寻找相关文档,是否会发生以及发生具体时间不详。
但是所幸,commit的message以及action的记录都是可以强制删除的,注意GitGuardian等即使修改了历史评论,但github上仍然可以看到历史评论,记得删除历史评论。
加强安全防范
最好的办法就是在本地仓库创建一个预提交的钩子,但是需要每个Collaborator自己在本地分别安装,最少也要执行一下git config --local core.hooksPath xxx钩子文件命令。
然后提交的时候最好不要git add .或git add *之类的,最好一个一个看看。
其次就是使用一些密码泄露检测工具,放在文章结尾部分了。
好用的密码泄露检测工具可以一旦密码泄露立即报警,若不慎泄露则需要和其他成员沟通并强制push,必要的话可能需要更改密码。
End
推荐一个第三方秘密检测工具GitGuardian,检测功能强大,能根据代码语境检测。
自荐一个简单的密码检测BotLet Secret Monitor,支持自定义密钥信息,普通的commit在push后也会触发检测。
原创不易,转载经作者同意后请附上原文链接哦~
Tisfy:https://letmefly.blog.csdn.net/article/details/145469338
相关文章:
Github - 记录一次对“不小心包含了密码的PR”的修复
Github - 记录一次对“不小心包含了密码的PR”的修复 前言 和好朋友一起开发一个字节跳动青训营抖音电商后端(now private)的项目,某大佬不小心把本地一密码commit上去并提了PR。 PR一旦发出则无法被删除,且其包含的commit也能被所有能看到这个仓库的…...
【玩转 Postman 接口测试与开发2_014】第11章:测试现成的 API 接口(下)——自动化接口测试脚本实战演练 + 测试集合共享
《API Testing and Development with Postman》最新第二版封面 文章目录 3 接口自动化测试实战3.1 测试环境的改造3.2 对列表查询接口的测试3.3 对查询单个实例的测试3.4 对新增接口的测试3.5 对修改接口的测试3.6 对删除接口的测试 4 测试集合的共享操作4.1 分享 Postman 集合…...
前后端通过docker部署笔记
项目背景:这是一个SpringBootvue3的项目,通过maven打包后,需要在Linux服务器上部署,本篇博客主要记录docker-compose.yaml文件的含义: docker-compose.yml 文件中定义了一个 algorithm_platform_frontend 容器&#…...
五十天精通硬件设计第四天-场效应管知识及选型
场效应管(FET,Field-Effect Transistor)是一种利用电场效应控制电流的半导体器件,广泛应用于放大、开关等电路中。以下是场效应管的基本知识及选型要点: 一、场效应管的基本知识 1. 类型: - **结型场效应管(JFET)**: - N沟道和P沟道两种类型。 - 栅极与…...
)
了解 ALV 中的 field catalog (ABAP List Viewer)
在 ABAP 中,字段目录是使用 ALV (ABAP List Viewer) 定义内部表中的数据显示方式的关键元素。它提供对 ALV 中显示的字段的各种属性的控制,例如列标题、对齐方式、可见性、可编辑性等。关键概念: Field Catelog 字段目…...
【基于SprintBoot+Mybatis+Mysql】电脑商城项目之修改密码和个人资料
🧸安清h:个人主页 🎥个人专栏:【Spring篇】【计算机网络】【Mybatis篇】 🚦作者简介:一个有趣爱睡觉的intp,期待和更多人分享自己所学知识的真诚大学生。 目录 🎃1.修改密码 -持久…...
十一、CentOS Stream 9 安装 Docker
一、Docker 环境安装 1、软件源(仓库)信息 使用如下命令可列出当前系统配置的所有软件源(仓库)信息 # 列出所有软件源 dnf repolist 这表明系统有三个仓库 AppStream 、 BaseOS、Extras-Common 被启用 2、配置软件源镜像 使用如下命令可配置 Docker 软件包下载的镜像地址 …...
FreeRTOS学习 --- 中断管理
什么是中断? 让CPU打断正常运行的程序,转而去处理紧急的事件(程序),就叫中断 中断执行机制,可简单概括为三步: 1,中断请求 外设产生中断请求(GPIO外部中断、定时器中断…...
如何在Intellij IDEA中识别一个文件夹下的多个Maven module?
目录 问题描述 理想情况 手动添加Module,配置Intellij IDEA的Project Structure 问题描述 一个文件夹下有多个Maven项目,一个一个开窗口打开可行但是太麻烦。直接open整个文件夹会发现Intellij IDEA默认可能就识别一个或者几个Maven项目,如…...
机器学习模型--线性回归、逻辑回归、分类
一、线性回归 级别1:简单一元线性回归(手工实现) import numpy as np import matplotlib.pyplot as plt# 生成数据 X np.array([1, 2, 3, 4, 5]) y np.array([2, 4, 5, 4, 5])# 手动实现梯度下降 def gradient_descent(X, y, lr0.01, epo…...
gitlab个别服务无法启动可能原因
目录 一、gitlab的puma服务一直重启 1. 查看日志 2. 检查配置文件 3. 重新配置和重启 GitLab 4. 检查系统资源 5. 检查依赖和服务状态 6. 清理和优化 7. 升级 GitLab 8. 查看社区和文档 二、 gitlab个别服务无法启动可能原因 1.服务器内存或磁盘已满 2.puma端口冲突…...
react的antd表格数据回显在form表单中
1、首先为table添加编辑按钮 {title: 操作,align: center,render: (_: any, record: any) > (<div style{{ display: flex, alignItems: center, justifyContent: space-evenly }}><Buttonsize"small"onClick{() > deitor(record)} style{{ margin…...
深度分析:网站快速收录与网站内容多样性的关系
本文转自:百万收录网 原文链接:https://www.baiwanshoulu.com/87.html 网站快速收录与网站内容多样性之间存在着密切的关系。以下是对这一关系的深度分析: 一、网站内容多样性对快速收录的影响 提升搜索引擎抓取效率: 多样化的…...
feign 远程调用详解
在平常的开发工作中,我们经常需要跟其他系统交互,比如调用用户系统的用户信息接口、调用支付系统的支付接口等。那么,我们应该通过什么方式进行系统之间的交互呢?今天,简单来总结下 feign 的用法。 1:引入依…...
【Android】jni开发之导入opencv和libyuv来进行图像处理
做视频图像处理时需要对其进行水印的添加,放在应用层调用工具性能方面不太满意,于是当下采用opencvlibyuv方法进行处理。 对于Android的jni开发不是很懂,我的需求是导入opencv方便在cpp中调用,但目前找到的教程都是把opencv作为模…...
【Elasticsearch】terms聚合误差问题
Elasticsearch中的聚合查询在某些情况下确实可能存在误差,尤其是在处理分布式数据和大量唯一值时。这种误差主要来源于以下几个方面: 1.分片数据的局部性 Elasticsearch的索引通常被分成多个分片,每个分片独立地计算聚合结果。由于数据在分…...
深入理解 `box-sizing: border-box;`:CSS 布局的利器
深入理解 box-sizing: border-box;:CSS 布局的利器 默认行为示例代码 使用 box-sizing: border-box;示例代码 全局应用 box-sizing: border-box;示例代码 实际应用场景1. 表单布局2. 网格布局 总结 在 CSS 中,box-sizing 属性决定了元素的总宽度和高度是…...
【原子工具】快速幂 快速乘
题幂算.一切即1 阴阳迭变积微著,叠浪层峦瞬息功 莫道浮生千万事,元知万象一归宗 文章目录 快速幂原始快速幂(O(logn))二分递归形式非递归形式 模下意义的快速幂(O(logn))二分递归形式非递归形式 快速乘龟速…...
Apache SeaTunnel 整体架构运行原理
概述 SeaTunnel 缘起 数据集成在现代企业的数据治理和决策支持中扮演着至关重要的角色。随着数据源的多样化和数据量的迅速增长及业务需求的快速变化,企业需要具备强大的数据集成能力来高效地处理数据。SeaTunnel通过其高度可扩展和灵活的架构,帮助企业…...
Nginx如何实现 TCP和UDP代理?
文章目录 前言 Nginx之TCP和UDP代理 工作原理示意图 配置文件和命令参数注释 基本命令 配置实例说明 TCP代理实例UDP代理实例 总结 前言 Nginx是一个高性能的HTTP和反向代理服务器,同时也支持TCP/UDP代理。在1.9.13版本后,Nginx已经支持端口转发&…...
LabVIEW生产者消费者模式:队列解耦与多任务架构实战
1. 项目概述:从“单线程”到“流水线”的思维跃迁如果你用过LabVIEW,大概率写过那种“一个While循环包打天下”的程序。按钮事件、数据采集、逻辑处理、界面更新,全都塞在一个循环里,顺序执行。程序简单时还好,一旦任务…...
8B模型做生物实验:实验步骤顺序不乱、剂量无幻觉|ICLR 2026
Thoth团队 投稿量子位 | 公众号 QbitAI人类研究员做实验,从来不是把几句步骤随手拼起来。一份真正可复现的实验protocol,需要明确每一步做什么、对什么对象操作、用什么参数,以及步骤之间的先后依赖。一旦顺序错了、剂量错了、对象错了&#…...
免费跨平台绘图神器:draw.io桌面版终极使用指南
免费跨平台绘图神器:draw.io桌面版终极使用指南 【免费下载链接】drawio-desktop Official electron build of draw.io 项目地址: https://gitcode.com/GitHub_Trending/dr/drawio-desktop 还在为不同系统间的图表文件兼容性而烦恼吗?ᾑ…...
LTC3305铅酸电池平衡器与PTC限流方案设计
1. LTC3305铅酸电池平衡器工作原理 LTC3305是Linear Technology(现属ADI)推出的一款专用于铅酸电池组的主动平衡控制器。其核心功能是通过一个辅助电池(AUX)在串联电池组间进行电荷转移,实现电压均衡。这种架构特别适合…...
)
从‘点一下’到‘连一连’:Qt6中PushButton信号与槽的5种连接方式详解(含Lambda表达式实战)
从‘点一下’到‘连一连’:Qt6中PushButton信号与槽的5种连接方式详解(含Lambda表达式实战) 在Qt框架中,PushButton作为最基础的交互控件之一,其信号与槽机制是构建响应式用户界面的核心。随着Qt6的发布,信…...
ElevenLabs藏文语音生成上线仅72小时:开发者必须立即掌握的5个API调用避坑要点
更多请点击: https://intelliparadigm.com 第一章:ElevenLabs藏文语音生成上线背景与技术意义 藏语作为中国官方认可的少数民族语言之一,拥有超过600万母语使用者,主要分布在西藏、青海、四川、甘肃和云南等地区。长期以来&…...
米尔MYS-8MMX开发板实战:从交叉编译到网络视频监控系统搭建
1. 开箱与初体验:米尔MYS-8MMX开发板印象作为一名在嵌入式领域摸爬滚打多年的开发者,拿到一块新的开发板,那种感觉就像老木匠看到一块上好的木料,总想立刻上手试试它的“成色”。米尔电子这次推出的MYS-8MMX开发板,基于…...
Verilog行为级建模:从initial/always到阻塞非阻塞赋值的核心语法解析
1. 项目概述:从“连线”到“行为”的思维跃迁刚接触数字电路设计的朋友,可能都是从画原理图、连逻辑门开始的。但当你面对一个需要处理复杂时序、包含状态机或者有算法逻辑的模块时,光靠门级网表来描述,那工程量简直让人头皮发麻。…...
)
【从零学Vibe Coding】第二章:大模型到底是怎么工作的(小白版)
第二章:大模型到底是怎么工作的(小白版) 为什么要了解原理? 很多人一边用 AI 写代码,一边又觉得它像魔法。魔法感越强,失望也越大。 因为一旦它出错,你就不知道问题出在哪,只能骂一…...
主动学习在可修复硬件系统可靠性分析中的应用
1. 可修复硬件系统可靠性分析的挑战与机遇 在航空航天、医疗设备和军事装备等关键领域,硬件系统的可靠性直接关系到人员安全和任务成败。传统可靠性分析方法面临三大核心挑战: 数据收集成本高 :全系统测试需要拆卸设备,每次维护…...