诸如密码之类的敏感数据应该在 .env 文件中,并且如果可能的话,不要最终出现在 Git 存储库中。 但它可能至少在我们每个人身上发生过一次错误:在GitHub Gists上快速发布一个不错的 Google Maps JS API 脚本(作为“公共”),而不会意外地伪装我们自己的私有 Maps API 密钥。
幸运的是,细心的 Google Cloud Platform Trust & Safety 团队最近开始用自动电子邮件敲击你的手指,这些电子邮件不仅在github.com上大规模搜索公共 API 密钥:
尊敬的顾客,
我们检测到与以下 Google Cloud Platform 项目相关联的可公开访问的 Google API 密钥:
...........................
那么最迟是采取行动的时候了。 幸运的是,即使是 Git 也是可以原谅的。 下面的 bash 脚本使用了伟大的BFG repo 清理器(不,这并不意味着来自 DOOM 的武器)并删除了第 6 行 Git 存储库第 5 行中的 API 密钥:
0cb06f6f637d40148ce07994959944db
PS:第 5 行的 API 密钥是个笑话。