ru_vds 16 сен 2020 в 16:16

Как убрать из Git-репозитория файлы с конфиденциальной информацией

4 мин

31K

Блог компании RUVDS.comGit*Информационная безопасность*Веб-разработка*

Перевод

+50

Комментарии 19

mayorovp 16 сен 2020 в 19:58

Что-то алгоритм какой-то странный. Уточнения:

Во-первых, добавлять файл в .gitignore и делать git rm --cached придётся во всех ветках, не вполне понятно почему иногда об этом упомянуто, а иногда нет.

Во-вторых, вместо простого git rebase -i HEAD~{...}, возможно, лучше cделать так:

git commit --fixup HEAD~{...}
git rebase -i --autosquash HEAD~{...}

В-третьих, не вполне понятно почему для уже опубликованной истории предлагается делать git filter-branch, если git rebase -i в большинстве случаев прекрасно работает (а меньшинство случаев, скорее всего, пойдёт по ветке "Consider the API key compromised")

В-четвёртых, в "нижней" ветке забыли сделать git push --force-with-lease

alexcrown 19 сен 2020 в 11:47

Это не поможет избавиться от коммита физически. rebase не меняет существующие коммиты, он просто создаёт новые и переносит на них метку ветки. И старые коммиты останутся доступными по хэшу.

mayorovp 19 сен 2020 в 11:54

Как будто git filter-branch их физически удаляет...

BitLord 7 окт 2020 в 13:28

git rebase придётся делать на всех ветках, а вот filter-branch как раз и предназначен для внесения изменений во все ветки сразу

mayorovp 7 окт 2020 в 13:41

Учитывая, что пост рассматривает ситуацию с недавно отправленным файлом — не вполне понятно откуда возьмётся эта самая куча веток, для которых понадобятся изменения. Скорее всего, их там будет одна, максимум две.

BitLord 7 окт 2020 в 13:46

Пост рассматривает разные случаи (ну или, по крайней мере, пытается это сделать). Для недавно отправленного файла, соглашусь, смысла нет. А вот для давнего — вполне.

TheCluster 16 сен 2020 в 21:33

Бороться надо всегда с причиной.

Такой проблемы в принципе нет, если с самого начала работы над проектом убедиться, что в .gitignore добавлены файлы вида .env и ему подобные.

Еще можно секреты вынести в отдельную папку и вообще весь ее контент добавить в .gitignore для предотвращения тех редких ситуаций, когда внезапно понадобилось создать еще один файл с секретной информацией и его название не подходит под существующие правила игнорирования.

А всё остальное, это уже следствие написания кода не приходя в сознание.

intet 17 сен 2020 в 09:17

Основная проблема хранения настроек, что нельзя положить один общий файл для всех и перекрывать несколько свойств у каждого.
Очень хочу возможность запрет на commit определенных файлов, при том что они продолжали бы получать обновления с сервера.

mayorovp 17 сен 2020 в 09:42

Основная проблема хранения настроек, что нельзя положить один общий файл для всех и перекрывать несколько свойств у каждого.

А кто мешает научить программу работать с несколькими файлами конфигурации?

Тот же ASP.NET Core, к слову, по умолчанию читает свою конфигурацию аж из 4х источников — из переменных окружения, из appsettings.json, из appsettings.{env}.json, и (в dev-режиме) из особых user secrets, которые вообще в папке проекта не хранятся.

Ну или вернёмся к node js и env-файлам. Никто же не мешает сделать вот так:

// config.mjs
export const foo = process.env.FOO ?? 'default foo value';
export const bar = process.env.BAR ?? 'default bar value';

intet 17 сен 2020 в 11:05

>А кто мешает научить программу работать с несколькими файлами конфигурации?
Есть много инструментов которые не очень дружат с нескольким файлами конфигурации.

Не должна система хранения заставлять добавлять лишние строки в проект.

mayorovp 17 сен 2020 в 11:48

Но git — это не просто система хранения, а система хранения исходников. Понятие "исходный код" как бы подразумевает, что он не обязан использоваться любыми инструментами напрямую.

Deosis 28 сен 2020 в 11:37

Полностью запретить вряд ли получится, но можно сделать
git update-index --assume-unchanged — filename
Тогда гит не зальёт случайно изменения в историю коммитов.

sergey-kuznetsov 6 дек 2021 в 06:41

Запрет коммита файла и при этом получение обновлений файла с сервера это оксюморон. Невозможно обновить файл в репозитории без предварительного добавления его туда коммитом.

Но файл .env.template прекрасно решает проблему с хранением и обновлением шаблона. Это и будет общим файлом.

Трюк с --assume-unchanged только усложняет рабочий процесс, так как придётся руками это делать в каждом локальном репозитории и следить чтобы оно не сбросилось.

AlexGluck 17 сен 2020 в 01:50

Попробуйте не коммитить в репу мусор, а других карайте. А ещё есть сервисы хранения секретов, и без авторизованного доступа секреты не достать.

Stas911 17 сен 2020 в 04:57

Добавлю три копейки. При работе с AWS никогда не храните ключи в исходниках и любых файлах проекта, которые вообще в принципе могут быть залиты в публичный репозиторий. По статистике боты пытаются логиниться с утекшими ключами спустя секунды после коммита в публичный репозиторий на github. Всегда настраивайте profiles и их используйте при удаленной работе.

vaagnavanesyan 17 сен 2020 в 16:12

Есть еще вот такая тулза, позволяет удалять текстовые файлы с определенным содержимым, расширением, либо превышающие какой-то заданный размер:
rtyley.github.io/bfg-repo-cleaner

tangro 17 сен 2020 в 16:53

Каждый разработчик когда-то по ошибке коммитил в общедоступный репозиторий файлы с конфиденциальной информацией.

Ни разу такого не делал. Всякие ключи храню в переменных окружения в памяти (и только в памяти). Код по необходимости достаёт их оттуда и использует. Закомитить их в git невозможно в принципе, поскольку как ты закомитишь туда блок ОЗУ неопределённого размера и адреса?

vrusua 22 сен 2020 в 11:58

как вариант можно хранить ключи в репозитории зашифрованными, н-р. через ansible-vault

event1 22 сен 2020 в 11:58

сами разработчики гит рекомендуют использовать git filter-repo вместо git filter-branch

Зарегистрируйтесь на Хабре, чтобы оставить комментарий