警告:如果你正在使用 Git,但没有正确配置 .gitignore 文件,你可能已经将敏感信息(如 API 密钥、数据库密码、AWS 凭证等)上传到了公开的 GitHub 仓库。这可能会导致严重的安全漏洞,甚至造成经济损失。

为什么 .gitignore 如此重要?

.gitignore 文件告诉 Git 哪些文件或文件夹应该被忽略,不纳入版本控制。如果没有它,Git 会跟踪所有文件,包括那些你不应该分享的敏感信息。

常见的敏感信息泄露场景

  1. 环境变量文件:如 .env 文件,通常包含数据库连接字符串、API 密钥等。
  2. 配置文件:如 config.jsonsettings.py,可能包含硬编码的密码。
  3. 日志文件:可能包含敏感的用户信息或系统详情。
  4. 临时文件:如 IDE 生成的配置文件,可能包含本地路径或凭据。

如何保护你的代码?

1. 创建 .gitignore 文件

在你的项目根目录下创建一个名为 .gitignore 的文件,并添加以下内容:

# 忽略所有 .env 文件
.env

# 忽略所有 .log 文件
*.log

# 忽略 IDE 配置文件
.idea/
.vscode/

# 忽略系统文件
.DS_Store
Thumbs.db

# 忽略构建输出
dist/
build/

# 忽略依赖目录
node_modules/

2. 检查已提交的敏感信息

如果你已经不小心提交了敏感信息,可以使用以下步骤来修复:

步骤 1:从 Git 历史中删除文件

使用 git filter-repo 工具(需要安装)来彻底删除文件:

# 安装 git-filter-repo
pip install git-filter-repo

# 删除 .env 文件的所有历史记录
git filter-repo --invert-paths --path .env

# 强制推送到远程仓库
git push origin --force --all

步骤 2:轮换所有泄露的凭据

重要:即使你删除了历史记录,假设敏感信息已经被泄露,你也必须立即轮换所有可能泄露的凭据(如 API 密钥、数据库密码等)。

3. 使用 Git 钩子防止未来泄露

你可以设置一个 pre-commit 钩子来检查是否试图提交敏感信息:

#!/bin/bash
# .git/hooks/pre-commit

# 检查是否包含 .env 文件
if git diff --cached --name-only | grep -q '^\.env$'; then
    echo "错误:尝试提交 .env 文件!"
    exit 1
fi

# 检查是否包含其他敏感文件
if git diff --cached --name-only | grep -q '\.\(log\|key\|pem\)$'; then
    echo "错误:尝试提交敏感文件!"
    exit 1
fi

最佳实践

  1. 永远不要将敏感信息硬编码在代码中
  2. 使用环境变量或秘密管理服务(如 AWS Secrets Manager、HashiCorp Vault)。
  3. 定期审查 .gitignore 文件,确保它包含所有必要的模式。
  4. 在团队中普及安全意识,确保每个人都了解如何正确使用 .gitignore

结论

保护代码安全是每个开发者的责任。通过正确配置 .gitignore 文件,你可以避免将敏感信息暴露给全世界。如果你已经泄露了敏感信息,请立即采取行动:删除历史记录并轮换所有凭据。

记住:安全无小事,预防胜于治疗。