问我将api密钥推到github中的公共存储库中。

EN

根据分配给受损服务帐户的角色，攻击者可以做任何事情，也可以什么都不做。

有一些基本的"最佳做法“关于键和服务帐户应该是有用的。

通常(如果可能的话)使用不同的服务帐户来每周或每周两次管理VM或/和旋转键(就像Google管理的那样)，并避免将任何API密钥放入可以/将要与公共密钥同步的存储库中:)

是的--听起来很傻，但出错的情况会发生，这将减少无障碍访问的可能性或不可能。

另外，合并"最小特权“规则可能是值得的

请注意，自2021年8月以来：

秘密扫描组织级REST GitHub高级安全客户现在可以通过GitHub REST在组织级别检索私有存储库秘密扫描结果。 这个新端点，在beta中，是对现有存储库级端点的补充。

API是：GET /organizations/:organization_id/secret-scanning/alerts。

见"关于私有存储库的秘密扫描“

在您的示例中，查询新的(仍然是beta的) API端点是一种很好的做法，在攻击者有时间进行大量破坏之前，应该发出警报。