防止 Git 泄漏的 5 种最佳做法

之前看过几个新闻，说是因为程序员的疏忽，将公司服务器的密钥上传到 GitHub 上，导致公司数据丢失，造成了很严重的影响，恰巧最近看到一篇英文博客有介绍如何防止 Git 泄露，下面是我的翻译内容，原文来自于 5 Best Practices To Prevent Git Leaks[1]，如果有翻译不当的地方欢迎指正，希望能对你有所帮助。

无数的开发人员正在使用 Git 进行版本控制，但是许多开发人员对 Git 的工作方式并没有足够的了解。有些人甚至将 Git 和 Github 用作备份文件的工具。这些做法导致 Git 仓库中的信息遭到泄露。每天都有数千个新的 API 或加密密钥从 GitHub 泄漏出去。[2]

我在信息安全领域工作了三年。大约在两年前，我们公司发生了一起非常严重的安全问题，是由于 Git 仓库发生了信息泄露导致的。

一名员工意外地在 Github 上泄露了 AWS 的密钥。攻击者使用此密钥从我们的服务器下载很多敏感的数据。我们花了很多时间来解决这个问题，我们试图统计出泄漏了多少数据，并分析了受影响的系统和相关用户，最后替换了系统中所有泄漏的密钥。

这是一个任何公司和开发人员都不愿经历的悲惨故事。

关于整件事情的细节我就不多写了。事实上，我希望更多的人知道如何去避免 Git 的信息泄露。以下是我提出的一些建议。

建立安全意识

大多数新人开发者没有足够的安全意识。有些公司会培训新员工，但有些公司没有系统的培训。

作为开发人员，我们需要知道哪些数据可能会带来安全问题。千万记住，下面这些数据不要上传到 Git 仓库中：

1.任何配置数据，包括密码，API 密钥，AWS 密钥和私钥等。2.个人身份信息[3]（PII）。根据 GDPR 的说法，如果公司泄露了用户的 PII，则该公司需要通知用户和有关部门，否则会带来更多的法律麻烦。

如果你在公司工作，未经允许，请勿共享任何与公司相关的源代码或数据。

攻击者可以在 GitHub 上轻松地找到某些具有公司版权的代码，而这些代码都是被员工无意中泄露到 Github 上的。

我的建议是，应该将公司项目和个人项目严格区分。

使用 Git 忽略（Git ignore）

当我们使用 Git 创建一个新项目时，我们必须正确地设置一个 .gitignore 文件。.gitignore 是一个 Git 配置文件，它列出了不会被存入 Git 仓库的文件或目录。

这个 gitignore 项目[4] 是一个实际使用着的 .gitignore 模板集合，其中包含对应各种编程语言、框架、工具或环境的配置文件。

我们需要了解 gitignore 的模式匹配规则，并根据模板添加我们自己的规则。

使用 Git 钩子（Git hooks）和 CI 检查提交

没有工具可以从 Git 仓库中找出所有敏感数据，但是有一些工具可以为我们提供帮助。

git-secrets[5] 和 talisman[6] 是类似的工具，它们应作为预提交的钩子[7]（pre-commit hooks）安装在本地代码库中。每次都会在提交之前对更改的内容进行检查，如果钩子检测到预期的提交内容可能包含敏感信息，那它们将会拒绝提交。

gitleaks[8] 提供了另一种在 git 仓库中查找未加密的密钥和其他一些不需要的数据类型的方法。我们可以将其集成到自动化工作流程中，例如 CICD。

代码审查（Code review）

代码审查是团队合作的最佳实践。所有队友都将从彼此的源代码中学习。初级开发人员的代码应由具有更多经验的开发人员进行审查。

在代码检查阶段可以发现大多数不符合预期的更改。

启用分支限制[9] 可以强制执行分支限制，以便只有部分用户才能推送到代码库中受保护的分支。Gitlab 也有类似的选择。

将 master 设置为受限制的分支有助于我们执行代码审查的工作。

快速并且正确地修复它

即使使用了上面提到的工具和方法，却仍然可能会发生错误。但如果我们快速且正确地修复它，则代码泄漏可能就不会引起实际的安全问题。

如果我们在 Git 仓库中发现了一些敏感数据泄漏，我们就不能仅仅通过提交另一个提交覆盖的方式来进行清理。

我们需要做的是从整个 Git 历史记录中删除所有敏感数据。

在进行任何清理之前请记得进行备份，然后在确认一切正常后再删除备份文件。

使用 --mirror 参数克隆一个仓库；这是 Git 数据库的完整副本。

git clone --mirror git://example.com/need-clean-repo.git

我们需要执行 git filter-branch 命令来从所有分支中删除数据并提交历史记录。

下面举个例子，假设我们要从 Git 中删除 ./config /passwd：

$ git filter-branch --force --index-filter \
  'git rm --cached --ignore-unmatch ./config/password' \
  --prune-empty --tag-name-filter cat -- --all

请记住将敏感文件添加到 .gitignore 中：

$ echo "./config/password" >> .gitignore
$ git add .gitignore
$ git commit -m "Add password to .gitignore"

然后我们将所有分支推送到远端：

$ git push --force --all
$ git push --force --tags

告诉我们的小伙伴进行变基（rebase）：

$ git rebase

BFG[10] 是一种比 git filter-branch 更快、更简单的用于删除敏感数据的替代方法。通常比 git filter-branch 快 10–720 倍。除删除文件外，BFG 还可以用于替换文件中的机密信息。

BFG 保留最新的提交记录。它是用来防止我们犯错误的。我们应该显式地删除文件，提交删除，然后清除历史记录以此删除它。

如果泄漏的 Git 代码库被其他人 fork 了，我们需要遵循 DMCA[11] 的删除策略，请求 Github 删除创建的代码库。

整个过程需要一些时间才能完成，但这是删除所有副本的唯一方法。

总结

不要犯无数人犯过的错误。尽力避免发生安全事故。

使用上面提到的这些工具和策略将有助于避免 Git 泄漏。

References

[1] 5 Best Practices To Prevent Git Leaks: https://levelup.gitconnected.com/5-best-practices-to-prevent-git-leaks-4997b96c1cbe [2] 每天都有数千个新的 API 或加密密钥从 GitHub 泄漏出去。: https://www.zdnet.com/article/over-100000-github-repos-have-leaked-api-or-cryptographic-keys/ [3] 个人身份信息: https://en.wikipedia.org/wiki/Personal_data [4] 这个 gitignore 项目: https://github.com/github/gitignore [5] git-secrets: https://github.com/awslabs/git-secrets [6] talisman: https://github.com/thoughtworks/talisman [7] 预提交的钩子: https://git-scm.com/book/en/v2/Customizing-Git-Git-Hooks [8] gitleaks: https://github.com/zricethezav/gitleaks [9] 启用分支限制: https://help.github.com/en/github/administering-a-repository/enabling-branch-restrictions [10] BFG: https://rtyley.github.io/bfg-repo-cleaner/ [11] DMCA: https://help.github.com/en/github/site-policy/dmca-takedown-policy#c-what-if-i-inadvertently-missed-the-window-to-make-changes