作者 | codingwoman
译者 | 布加迪
策划 | 言征
大家可能都会面临这样直冒冷汗的情形:在使用Git进行版本控制时不小心推送了重要的密钥或超大文件?要知道,在敏感数据公开暴露20秒后,再去删除这些密钥可能已经为时太晚了!
人非圣贤,孰能无过?本文会分享介绍几个笔者在用的好技巧,这样在Git时,再也不用担惊受怕了。
Git中一类不需要的内容是非常大的文件。如果不小心提交了一个大文件到存储库,这肯定会限制你拉取或推送文件所需的时间;如果文件大于100MB,甚至还会显示错误。
其次,作为软件开发圈中的一员,这个忠告应该听过很多次:永远不要将机密信息推送到存储库。拥有芝麻粒大点资源的攻击者就可以通过窃取泄露的密文(secrets)和密钥来危及许多GitHub用户。然而,许多同行却对此不太当回事。
因此,我想分享几个统计数据。
我能进行另一个提交后删除它吗?
不。事实上,这比刚才的那件事还要危险。不要天真地以为,当他们从存储库中删除文件后,文件再也访问不了。这正是Git的用途所在。它会跟踪你的文件版本历史记录,以便你在想要恢复更改时可以恢复。
通过以下列方式进行提交以删除文件,你无异于将网上的陌生人引向存放密文的位置。
$ git commit –m “Remove api key”只需你搜索一下,就可以看到这有多频繁。更明确地说,截止2023年1月5日笔者撰写这篇文章期间,在GitHub上搜索查询“remove api key”,返回了100万+提交,查询“remove password”返回了735K+提交。
随着ChatGPT大行其道,人们试图编写Python脚本来试用它,我发现无数的OpenAI API密钥散布在GitHub的各个角落。
这将引发严重后果!
当我们考虑从Git历史记录中删除提交时,首先想到的是立即将分支的顶端更改为旧的提交。这使我们安全地回到密钥不存在于存储库中的时候。
1 $ git reset <SHA1>
2 $ git commit -am message
3 $ git push -f <remote-name> <branch-name>好吧,如果你遇到的问题与大文件有关,总是可以使用git filter-branch从历史记录中删除过去的信息/文件。此外,还有一个极好极简单的方法,我常常使用它。
见识一下BFG-Repo-Cleaner!这是一个用Scala编写的工具,可以删除大文件(比如预训练的模型或无法丢弃的大PDF文件)或麻烦的blob(比如API密钥、密码和密文),其功能就像git filter-branch,但速度更快。
GitHub的官方推荐也建议使用BFG-Repo-Cleaner来清除文件。
说明:我最近被告知git filter-branch已被弃用。现在可以使用git filter-repo或直接使用上面提到的BFG工具。
不,还不能松口气。当然,你可以随时使用这个工具删除大文件。然而,在将不必要的凭据推送到公共存储库之前,仍然应该小心为好。如果你最近在GitHub上泄露了密文,应该尽快用上面提到的工具收回密文。
此前,有一篇名为《Git会有多糟糕?揭秘公共GitHub存储库中的密文泄露》的论文首次全面深入分析了GitHub上的密文泄露。研究人员在文中评估了两种不同的挖掘密文的方法:一种能够实时发现99%的新提交的含有密文的文件,另一种利用了覆盖13%的公共存储库的大快照,其中一些可以追溯到GitHub创建时的快照。
GitHub应该对可能暴露密文的提交,实行严格得多的政策或检查。或者至少将新注册的帐户引到相应的说明文档发出警告。笔者认为这对于刚开始踏上编程之旅的新人来说尤为重要。开发人员(尤其是新手)应该知道如何安全地公开源代码,以及忽视这么做可能面临的后果。
如何才能避免意外提交?这里给出几点建议:
原文链接:http://www.codingwoman.com/git-the-good-the-bad-and-the-ugly/
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
我需要检查DateTime是否采用有效的ISO8601格式。喜欢:#iso8601?我检查了ruby是否有特定方法,但没有找到。目前我正在使用date.iso8601==date来检查这个。有什么好的方法吗?编辑解释我的环境,并改变问题的范围。因此,我的项目将使用jsapiFullCalendar,这就是我需要iso8601字符串格式的原因。我想知道更好或正确的方法是什么,以正确的格式将日期保存在数据库中,或者让ActiveRecord完成它们的工作并在我需要时间信息时对其进行操作。 最佳答案 我不太明白你的问题。我假设您想检查
有时我需要处理键/值数据。我不喜欢使用数组,因为它们在大小上没有限制(很容易不小心添加超过2个项目,而且您最终需要稍后验证大小)。此外,0和1的索引变成了魔数(MagicNumber),并且在传达含义方面做得很差(“当我说0时,我的意思是head...”)。散列也不合适,因为可能会不小心添加额外的条目。我写了下面的类来解决这个问题:classPairattr_accessor:head,:taildefinitialize(h,t)@head,@tail=h,tendend它工作得很好并且解决了问题,但我很想知道:Ruby标准库是否已经带有这样一个类? 最佳
这个问题在这里已经有了答案:Railsformattingdate(4个答案)关闭4年前。我想格式化Time.Now函数以显示YYYY-MM-DDHH:MM:SS而不是:“2018-03-0909:47:19+0000”该函数需要放在时间中.现在功能。require‘roo’require‘roo-xls’require‘byebug’file_name=ARGV.first||“Template.xlsx”excel_file=Roo::Spreadsheet.open(“./#{file_name}“,extension::xlsx)xml=Nokogiri::XML::Build
我正在尝试解析一个CSV文件并使用SQL命令自动为其创建一个表。CSV中的第一行给出了列标题。但我需要推断每个列的类型。Ruby中是否有任何函数可以找到每个字段中内容的类型。例如,CSV行:"12012","Test","1233.22","12:21:22","10/10/2009"应该产生像这样的类型['integer','string','float','time','date']谢谢! 最佳答案 require'time'defto_something(str)if(num=Integer(str)rescueFloat(s
我正在尝试使用Curbgem执行以下POST以解析云curl-XPOST\-H"X-Parse-Application-Id:PARSE_APP_ID"\-H"X-Parse-REST-API-Key:PARSE_API_KEY"\-H"Content-Type:image/jpeg"\--data-binary'@myPicture.jpg'\https://api.parse.com/1/files/pic.jpg用这个:curl=Curl::Easy.new("https://api.parse.com/1/files/lion.jpg")curl.multipart_form_
无论您是想搭建桌面端、WEB端或者移动端APP应用,HOOPSPlatform组件都可以为您提供弹性的3D集成架构,同时,由工业领域3D技术专家组成的HOOPS技术团队也能为您提供技术支持服务。如果您的客户期望有一种在多个平台(桌面/WEB/APP,而且某些客户端是“瘦”客户端)快速、方便地将数据接入到3D应用系统的解决方案,并且当访问数据时,在各个平台上的性能和用户体验保持一致,HOOPSPlatform将帮助您完成。利用HOOPSPlatform,您可以开发在任何环境下的3D基础应用架构。HOOPSPlatform可以帮您打造3D创新型产品,HOOPSSDK包含的技术有:快速且准确的CAD
本教程将在Unity3D中混合Optitrack与数据手套的数据流,在人体运动的基础上,添加双手手指部分的运动。双手手背的角度仍由Optitrack提供,数据手套提供双手手指的角度。 01 客户端软件分别安装MotiveBody与MotionVenus并校准人体与数据手套。MotiveBodyMotionVenus数据手套使用、校准流程参照:https://gitee.com/foheart_1/foheart-h1-data-summary.git02 数据转发打开MotiveBody软件的Streaming,开始向Unity3D广播数据;MotionVenus中设置->选项选择Unit
文章目录一、概述简介原理模块二、配置Mysql使用版本环境要求1.操作系统2.mysql要求三、配置canal-server离线下载在线下载上传解压修改配置单机配置集群配置分库分表配置1.修改全局配置2.实例配置垂直分库水平分库3.修改group-instance.xml4.启动监听四、配置canal-adapter1修改启动配置2配置映射文件3启动ES数据同步查询所有订阅同步数据同步开关启动4.验证五、配置canal-admin一、概述简介canal是Alibaba旗下的一款开源项目,Java开发。基于数据库增量日志解析,提供增量数据订阅&消费。Git地址:https://github.co
我正在尝试在Rails上安装ruby,到目前为止一切都已安装,但是当我尝试使用rakedb:create创建数据库时,我收到一个奇怪的错误:dyld:lazysymbolbindingfailed:Symbolnotfound:_mysql_get_client_infoReferencedfrom:/Library/Ruby/Gems/1.8/gems/mysql2-0.3.11/lib/mysql2/mysql2.bundleExpectedin:flatnamespacedyld:Symbolnotfound:_mysql_get_client_infoReferencedf