我差点忽略的、拯救了我的 GitHub 仓库的邮件

Source: Dev.to

就在前几天，一封神秘的邮件出现在我的收件箱中，警告我在某个 GitHub 仓库里泄露了敏感信息。由于发件人未知，我的第一反应是忽略它。但好奇心占了上风，我于是自行检查了该仓库。

果然，邮件所言不假。我不小心提交了新项目的 settings.json 文件，其中包含了我的 Snowflake 登录凭证。如果有恶意人士先行发现，后果可能相当严重：失去对 Snowflake 账户的访问、个人数据泄露，甚至信用卡被盗刷。

事件概述

• 泄露文件： settings.json，内含 Snowflake 凭证
• 潜在影响： 账户被接管、数据泄露、财务损失
• 根本原因： 提交了本应在 .gitignore 中排除的配置文件

为什么密钥会在 Git 仓库中泄露

配置文件、环境变量以及测试凭证在快速开发或原型阶段常常不慎提交。仅仅将仓库设为私有或在 GitHub 上删除/修改文件并不足以解决问题；密钥仍然保留在 Git 历史记录中，仍可被恢复。唯一可靠的办法是 撤销或轮换 已泄露的凭证。

根据 GitHub 的一篇博客文章，2024 年就检测到了 3900 万次密钥泄露，足以说明此类问题的普遍性。

介绍 GitGuardian

GitGuardian 会自动扫描仓库中的泄露密钥，并在检测到问题时立即提醒仓库所有者。

主要功能

• 持续监控 所有已连接的 GitHub 仓库
• 实时警报，提供泄露的精确位置（文件路径、行号、提交 SHA）
• 预防工具，在推送前阻止密钥泄露
• 简洁直观的 UI，让修复过程变得轻松

我创建了一个免费的 GitGuardian 账户，惊讶于它能多快展示出哪些信息被泄露、泄露位置以及为何被标记。平台还提供预防措施，因此我现在依赖它的警报系统，及时应对任何意外泄露。

工作原理

1. 连接 你的 GitHub 账户到 GitGuardian。
2. GitGuardian 扫描 所有已有提交，并实时监控新推送。
3. 检测到密钥后，你会收到包含详细信息（文件、行号、提交）的 警报。
4. 撤销/轮换 受影响的凭证，并使用 GitGuardian 的 UI 删除 Git 历史中的密钥（例如通过 git filter-repo 或内置修复工具）。

收获

• 安全事件往往源于细小的人为失误，而非高级攻击。
• 自动化扫描工具显著缩短 “哎呀” 与 “已修复” 之间的时间，这对限制曝光至关重要。
• 定期 审查 .gitignore 文件，并 轮换 可能已泄露的任何凭证。

我并未与 GitGuardian 有任何关联，只是一个觉得该产品值得分享的用户。你可以 免费开始使用，点击这里。

如果你曾收到过自己未曾意识到的安全错误警报，考虑在工作流中加入密钥扫描工具吧。