开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Git压缩提交敏感数据

是一种处理敏感数据的方法，它可以将敏感数据压缩并提交到Git版本控制系统中，以保护数据的安全性和隐私。

概念：

Git是一个分布式版本控制系统，它可以跟踪文件的修改历史并协同多人开发。压缩提交是指将多个文件或文件夹打包成一个压缩文件，然后提交到Git仓库。

分类：

压缩提交敏感数据可以分为两种情况：

压缩提交已存在的敏感数据：当敏感数据已经存在于Git仓库中时，可以使用压缩提交的方式将其打包成一个压缩文件，然后提交到Git仓库，以减少对敏感数据的直接暴露。
压缩提交新添加的敏感数据：当需要向Git仓库添加新的敏感数据时，可以先将其打包成一个压缩文件，然后再提交到Git仓库，以避免敏感数据在提交过程中被泄露。

优势：

使用Git压缩提交敏感数据具有以下优势：

数据安全性：通过将敏感数据压缩成一个文件，可以减少对敏感数据的直接暴露，提高数据的安全性。
隐私保护：压缩提交敏感数据可以避免在提交过程中泄露敏感信息，保护用户的隐私。
版本控制：通过将压缩文件提交到Git仓库，可以对敏感数据进行版本控制，方便追踪和管理。

应用场景：

压缩提交敏感数据可以应用于以下场景：

存储敏感配置文件：将包含敏感信息的配置文件打包成一个压缩文件，然后提交到Git仓库，以保护配置文件中的敏感信息。
保护加密密钥：将加密密钥打包成一个压缩文件，然后提交到Git仓库，以确保密钥的安全性。
处理敏感数据文件：将包含敏感数据的文件打包成一个压缩文件，然后提交到Git仓库，以减少对敏感数据的直接暴露。

推荐的腾讯云相关产品：

腾讯云提供了一系列与Git压缩提交敏感数据相关的产品和服务，包括：

腾讯云代码托管（https://cloud.tencent.com/product/coderepo）：提供了Git代码托管服务，可以方便地进行版本控制和代码管理。
腾讯云对象存储（https://cloud.tencent.com/product/cos）：提供了高可靠、低成本的对象存储服务，可以用于存储压缩文件和其他文件。
腾讯云密钥管理系统（https://cloud.tencent.com/product/kms）：提供了密钥管理和加密服务，可以用于保护加密密钥的安全性。

以上是关于Git压缩提交敏感数据的完善且全面的答案。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

[译]从仓库中移除敏感信息

如果你将敏感数据（如密码或 SSH 密钥）提交到 Git 仓库，你能够将其从历史记录中删除。要从仓库的历史记录中完全删除不需要的文件，你可以使用 git filter-branch命令或 BFG Repo-Cleaner。

02

21条最佳实践，全面保障 GitHub 使用安全

GitHub 是开发人员工作流程中不可或缺的一部分。无论你去哪个企业或开发团队，GitHub 都以某种形式存在。它被超过8300万开发人员，400万个组织和托管超过2亿个存储库使用。GitHub 是世界上最大的源代码托管服务平台。

04

防止 Git 泄漏的 5 种最佳做法

之前看过几个新闻，说是因为程序员的疏忽，将公司服务器的密钥上传到 GitHub 上，导致公司数据丢失，造成了很严重的影响，恰巧最近看到一篇英文博客有介绍如何防止 Git 泄露，下面是我的翻译内容，原文来自于 5 Best Practices To Prevent Git Leaks[1]，如果有翻译不当的地方欢迎指正，希望能对你有所帮助。

01

可能每天都会用到的Git命令速查表

老实说，莱纳斯·托瓦尔兹（Linus Torvalds）的小项目几乎感觉像是一个奇迹。

03

git删除全部提交历史，成为一个新的仓库

有时候在提交代码时，不小心提交了敏感数据，如账号密码什么的，这样在历史记录中就可以查看到，这样很不安全，所以就需要吧历史提交记录删了，变成一个新的仓库。

02

10万 npm 用户账号信息被窃、日志中保存明文密码，GitHub安全问题何时休？

5 月 26 日，GitHub 披露了 4 月中旬一次安全漏洞的更多调查细节，描述了攻击者如何抓取包括大约 10 万个 npm 用户的详细登录信息。同时，这也显示了在将 JavaScript 包注册中心整合到 GitHub 的日志系统后，GitHub 在内部日志中存储了 “npm 注册中心的一些明文用户凭证”。

02

超详细敏感信息泄露漏洞总结

本文提供的工具、教程、学习路线、精品文章均为原创或互联网收集，旨在提高网络安全技术水平为目的，只做技术研究，谨遵守国家相关法律法规，请勿用于违法用途。

01

如何使用truffleHog在Git库中搜索高熵字符串和敏感数据以保护代码库安全

truffleHog是一款功能强大的数据挖掘工具，该工具可以帮助广大研究人员轻松从目标Git库中搜索出搜索高熵字符串和敏感数据，我们就可以根据这些信息来提升自己代码库的安全性了。该工具可以通过深入分析目标Git库的提交历史和代码分支，来搜索出潜在的敏感信息。

02

使用Token-Hunter收集GitLab组和成员资产中的敏感数据研究

Token-Hunter是一款针对GitLab组和成员的OSINT开源情报收集工具，该工具基于Python3开发在该工具的帮助下，广大研究人员可以轻松分析组和组成员之间的代码段、问题和问题讨论等内容，并从这些资产中收集潜在的敏感信息。收集到的信息旨在补充其他工具使用的相关信息，比如说TruffleHog或GitRob，而这些工具可以使用类似正则表达式匹配技术来搜索git提交历史。

01

GitHub安全最佳实践

Github 类的代码平台是个研发和安全人员的大宝库，阿里云效平台的代码权限事件历历在目,密码泄露到公开代码平台的事件层出不穷，为企业内外部的各种源代码管理系统（gitlab\stash\github\gitee）做好合理配置是新生事物。开发各种 github 敏感信息监控工具均属于事后管理，做好安全配置和培养员工良好的习惯才是安全管理的重中之重。

01

如何优雅的保护 Kubernetes 中的 Secrets

现如今开发的大多数应用程序，或多或少都会用到一些敏感信息，用于执行某些业务逻辑。比如使用用户名密码去连接数据库，或者使用秘钥连接第三方服务。在代码中直接使用这些密码或者秘钥是最直接的方式，但同时也带来了很大的安全问题，如何保证密码、秘钥不被泄露。

01

git如何忽略已经加入版本控制的文件

有时候新增一个文件，会自动追加到git的版本控制当中，但是又不想提交到仓库。可以按照下面的步骤：

00

如何使用Talisman检测Git代码库中是否遗留有令牌凭证等敏感信息

Talisman是一款功能强大的敏感数据检测工具，可以通过在目标代码库中设置钩子，来确保代码库中没有开发人员遗留的潜在凭证数据或敏感信息。

04

公司敏感数据被上传Github，吓得我赶紧改提交记录

说个事吧！最近公司发生了一个事故，有同事不小心把敏感数据上传到了GitHub上，结果被安全部门扫描出来了。这件事导致公司对所有员工进行了一次数据安全的培训。对于这个事我相信，有点工作经验的人都不会故意去上传这些敏感文件，多数应该是误操作导致的。

01

公司敏感数据被上传Github，吓得我赶紧改提交记录

说个事吧！最近公司发生了一个事故，有同事不小心把敏感数据上传到了GitHub上，结果被安全部门扫描出来了。这件事导致公司对所有员工进行了一次数据安全的培训。对于这个事我相信，有点工作经验的人都不会故意去上传这些敏感文件，多数应该是误操作导致的。

01

GitHound：一款针对GitHub的API密钥和敏感数据搜索工具

GitHound可以利用模式匹配、提交历史搜索和一个独特的结果评分系统来精确定位GitHub上的公开API密钥，从本质上来说，GitHound就是一款基于批量爬取、模式匹配和补丁攻击的敏感数据搜索工具。

02

拒绝"裸奔"，SpringBoot集成Jasypt加密敏感信息

在互联网遍布社会各个角落的时代，伴随着的是安全问题总是层出不穷。 19年4月，根据深圳市人民检察院微信消息，深圳某知名无人机企业的工程师因为泄露公司源代码到开源社区Github上而造成了公司巨大的损失，最终被判处有期徒刑6个月，罚款20万元。

02

干货｜浅析敏感信息泄露漏洞

本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集，旨在提高网络安全技术水平为目的，只做技术研究，谨遵守国家相关法律法规，请勿用于违法用途。

02

研究人员如何使用Shhgit搜索GitHub中的敏感数据

Shhgit能够帮助广大研究人员以近乎实时的方式寻找GitHub（包括Gists）、GitLab和BitBucket提交代码中的敏感数据和敏感文件。实际上，在GitHub中发现敏感数据并不算什么新鲜事了。目前也有很多很好的工具可以帮助我们去寻找开源代码库中的敏感信息。比如说，类似gitrob和truggleHog这样的工具，可以帮助我们挖掘commit历史记录并寻找特定代码库的机密令牌。除此之外，GitHub本身也可以通过他们的令牌搜索项目来寻找敏感信息。它们的目标是实时识别提交代码中的秘密令牌，并通知服务提供商采取行动。所以从理论上讲，如果任何AWS密钥被提交到了GitHub，Amazon就会收到通知并自动撤销它们。

03

活动 Web 页面人机识别验证的探索与实践

美美导读：移动互联网时代，大部分营销活动仍然通过 Web 页面来承载，但是 Web 页面由于天生的“环境透明”，所以在安全性层面有较大的挑战。本文主要以移动端 Web 页面为基础来讲述如何提升安全性。

01

DeepSecrets：一款能够理解代码语义的代码敏感信息扫描工具

DeepSecrets是一款能够理解代码语义的代码敏感信息扫描工具，在该工具的帮助下，广大研究人员将能够更有效地扫描和分析代码中的敏感信息。

01

Chezmoi：一款强大的跨平台dotfiles管理工具

你是否曾经在管理多台机器的配置文件时，感到困扰？你是否曾经在处理敏感数据的安全性，跨多个系统的兼容性，以及版本控制等问题时，感到头疼？如果你的答案是肯定的，那么 Chezmoi 可能是你的救星。

01

RSAC解读：如何安全地使用CI_CD工具

2022年的RSA会议上，来自Coalfire的副总裁和首席战略官Dan Cornelld的议题《What Executives Need to Know about CI/CD Pipelines and Supply Chain Security》从使用CI/CD管道的安全性出发，首先向各位观众讲述了什么是CI/CD管道，并提出我们为何需要关注CI/CD使用过程中的安全风险，之后Dan Cornell面向安全从业人员以及DevSecOps实施人员讲述了使用CI/CD需要注意的安全风险，包括源代码仓库安全接入CI/CD管道可能引发的风险，引入第三方开源依赖库的风险，项目代码在构建测试、部署、打包、分发过程中面临的安全风险。最后，Dan Cornell提出了相应的安全建议并给出了未来6个月的具体DecSecOps实施计划。

02

加密 K8s Secrets 的几种方案

你可能已经听过很多遍这个不算秘密的秘密了--Kubernetes Secrets 不是加密的！Secret 的值是存储在 etcd 中的 base64 encoded（编码）[1] 字符串。这意味着，任何可以访问你的集群的人，都可以轻松解码你的敏感数据。任何人？是的，几乎任何人都可以，尤其是在集群的 RBAC 设置不正确的情况下。任何人都可以访问 API 或访问 etcd。也可能是任何被授权在 Namespace 中创建 pod 或 Deploy，然后使用该权限检索该 Namespace 中所有 Secrets 的人。如何确保集群上的 Secrets 和其他敏感信息（如 token）不被泄露？在本篇博文中，我们将讨论在 K8s 上构建、部署和运行应用程序时加密应用程序 Secrets 的几种方法。

02

Github敏感数据分析

很少有数据存储库可以比GitHub更广泛地应用于代码开发生产，然而，正如老话所说的“速度越快，风险越大”。研究人员发现公共GitHub帐户具有极高泄露敏感信息的可能，数据丢失和持续泄露事件风险增加。通过适当的DevSecOps和使用GitHub事件API扫描器，组织可以大大降低泄露信息的风险。

02

【WEB安全】详解信息泄漏漏洞

由于网站管理员运维不当，可能会将备份文件、数据库配置文件等敏感文件存放在WEB目录下公开访问，攻击者可以轻松地访问这些敏感文件，从而了解系统的配置细节、密码信息、数据库凭据等重要数据，扩大的攻击面。

00

Git共享钩子脚本：实现项目代码的跨仓库同步

Git是现代软件开发中不可或缺的工具之一，它的优势之一在于它可以使用钩子脚本来执行特定的操作以满足各种需求。这篇文章将介绍Git的钩子脚本，重点关注如何使用共享钩子脚本来同步项目代码到其他项目。

03

明文传输漏洞

由于网站在用户提交的敏感数据到服务器的过程中未进行相关加密处理，导致攻击者可以通过中间人攻击（劫持、嗅探）等方式获取到这些未加密的敏感数据。当攻击者获取到这些数据之后，可能利用这些信息以合法用户的身份登录系统，一旦进入到应用系统中那么就可以获取更多的敏感数据，以及有机会发现更多的漏洞。

09

张嘴吃安利之 PhpStorm 中的 HTTP 客户端

是的，但是可以看到图中已经说了：This REST Client is deprecated.，本篇文章要说的新版的 HTTP Client，比这个 REST Client 更方便一些

04

01 . GitLab简介及环境部署

GitHub如果使用私有仓库，是需要付费的，GitLab可以在上面搭建私人的免费仓库。

06

技术解读｜软件敏感信息检测工具对比分析

随着软件开发的日益复杂，敏感信息（如API密钥和访问令牌）的安全性变得尤为重要。如图1.1，根据GitGuardian的监测数据，2023年GitHub存储库中的密钥暴露数量较2022年增长了28%，累计泄漏超过1280万个身份验证和敏感密钥。这一问题不仅威胁到软件的安全性，还可能导致严重的安全漏洞和经济损失。例如，2022年9月，一名攻击者通过利用Uber公司PowerShell脚本中硬编码的管理员凭证，成功接管了该公司的内部工具和应用程序。

01

XML外部实体（XXE）注入原理解析及实战案例全汇总

XML全称“可扩展标记语言”（extensible markup language），XML是一种用于存储和传输数据的语言。与HTML一样，XML使用标签和数据的树状结构。但不同的是，XML不使用预定义标记，因此可以为标记指定描述数据的名称。由于json的出现，xml的受欢迎程度大大下降。

04

陇剑杯部分Write-up

主要考察抓包分析、web安全、无线安全、内存取证分析、加密解密。难度最大的是无线安全、内存取证分析、加密解密。

02

如何使用Decodify递归检测和解码编码字符串

关于Decodify Decodify是一款功能强大的字符串安全处理工具，在该工具的帮助下，广大研究人员能够轻松地以递归的方式检测和解码编码字符串。假设现在有一个字符串“s0md3v”，然后使用Base64对其编码，结果如下： czBtZDN2 现在，我们将其编码为十六进制： 637a42745a444e32 然后再次将其编码为Base64： NjM3YTQyNzQ1YTQ0NGUzMg== 最后，将其提交给Decodify，其结果如下：如上图所示，Decodify能够以自动化的方式检测目标字符串

02

如何删除Git仓库中的敏感文件及其历史记录

因为我开一个新的项目的时候习惯先使用私有仓库，当完善的差不多的时候再转为公开，私有库就随便了些，可能存在一些不合适公开的一些信息，所以需要在转为公开仓库前检查删除一些内容。当然，也有可能是一些私钥等信息因为疏忽，没有加入到.gitignore 文件中，被错误的跟踪了。

04

如何使用Dismember扫描内存并搜索敏感信息

关于Dismember Dismember是一款针对Linux内存安全的测试与扫描工具，该工具本质上是一个基于命令行的工具，专为Linux操作系统而设计，可以帮助广大研究人员扫描Linux系统上的所有进程，并尝试从中搜索常见的敏感信息或自定义的正则表达式匹配项。该工具基于Go语言开发，目前仍在积极开发阶段，之后可能会升级为一个完整的渗透测试工具。工具要求该工具基于Go语言开发，因此我们首先需要在本地设备上安装并配置好Go语言环境。接下来，广大研究人员可以使用下列命令将该项目源码克隆至本地：

02

常见中间件漏洞（续二）

Apache是从右到左开始识别解析，如果识别不了就跳过继续往左识别，比如jadore.php.iso.war是Apache不可识别解析，Apache就会把其解析成php，一般可以前端绕过，如果Apache中.htaccess可被执行，且可以上传，那么可尝试在.htaccess中写入：

04

tke-kms-plugin插件开源

tke-kms-plugin是Kubernetes腾讯云KMS provider插件，支持腾讯云容器服务TKE集群（及用户在腾讯云的自建K8s集群）利用腾讯云KMS服务在存储和读取Secrets数据时进行加解密，保证敏感数据在ETCD的安全存储。腾讯云容器服务（TKE）是首批通过Kubernetes一致性认证的服务商，基于原生 Kubernetes 提供的以容器为核心的解决方案，解决用户开发、测试及运维过程的环境问题，可以帮助客户降低成本，提高效率。TKE服务完全兼容原生 Kubernetes API

03

【前端部署十三篇】CI 中的环境变量

大家好，我是山月，这是我最近新开的专栏：「前端部署系列」。包括 Docker、CICD 等内容，大纲图示如下：

01

修改MD5值：降低iOS应用程序关联性判定，减少拒绝风险

ios应用程序存储一些图片，资源，配置信息，甚至敏感数据如用户信息、证书、私钥等。这些数据怎么保护呢？可以使用iOS提供的Keychain来保护敏感数据，也可以使用加密技术，或者使用Ipa Guard 来弱化文件名称含义，增加破解难度。实现保护iOS app应用程序不被反编译、破解或篡改。

02

HTTP协议

HTTP，超文本传输协议（HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议

03

FreeBuf周报 | Gartner发布2022年新兴技术成熟度曲线；两款红米手机存在安全漏洞

各位Buffer周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！热点资讯 1、Gartner 发布 2022 年新兴技术成熟度曲线 Gartner 2022 年新兴技术成熟度曲线列出了 25 项值得关注的新兴技术，这些技术正在推动沉浸式体验的发展和扩展、加速人工智能（AI）自动化并优化技术人员交付。 2、网信办发布国内互联网算法备案清单，含微信、淘宝、抖音等30款App 8月12日，根据《互联网信息服务算法推荐管理规定

02

【ASP.NET Core 基础知识】--安全性--防范常见攻击

在现实网络中即存在着安全的流量，又存在着不安全的流量在，这些不安全的流量常常会对我们的网站服务造成威胁，严重的甚至会泄露用户的隐私信息。这篇文章我们通过对常见的网络攻击跨站脚本攻击、跨站请求伪造(CSRF)、SQL注入、敏感数据泄露、身份验证与授权防范方面讲解如何防范网络攻击。

00

[红日安全]Web安全Day11 - 敏感信息泄露实战

大家好，我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享，还包含一个HTB靶场供大家练习，我们给这个项目起了一个名字叫 Web安全实战，希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法（手工测试，工具测试）-靶场测试（分为PHP靶场、JAVA靶场、Python靶场基本上三种靶场全部涵盖）-实战演练（主要选择相应CMS或者是Vulnhub进行实战演练)，如果对大家有帮助请Star鼓励我们创作更好文章。如果你愿意加入我们，一起完善这个项目，欢迎通过邮件形式（sec-redclub@qq.com）联系我们。

06

腾讯CDC团队：前端异常监控解决方案

前端监控包括行为监控、异常监控、性能监控等，本文主要讨论异常监控。对于前端而言，和后端处于同一个监控系统中，前端有自己的监控方案，后端也有自己等监控方案，但两者并不分离，因为一个用户在操作应用过程中如果出现异常，有可能是前端引起，也有可能是后端引起，需要有一个机制，将前后端串联起来，使监控本身统一于监控系统。因此，即使只讨论前端异常监控，其实也不能严格区分前后端界限，而要根据实际系统的设计，在最终的报表中体现出监控对开发和业务的帮助。

01

【金猿案例展】某农商行：数据脱敏系统经典实践

在银行企业生产数据库中，储存着大量的敏感信息，例如储户个人身份信息、手机号码、身份证、银行账户信息、资金信息等，这些数据，在银行业很多工作场景中都会得到使用，例如，业务分析、开发测试、审计监管，甚至是一些外包业务等方面，使用的都是真实的业务数据和信息。如果这些数据发生泄露、损坏，不仅会给银行企业带来经济上的损失，更重要的是会大大影响用户对于银行的信任度。

01

SSL和TLS注意事项《漏洞防护》

SSL全称为安全套接字层，TLS全称为传输层安全性，这两个概念通常情况下可以互换使用，实际上SSL相当于TLS，现在web浏览器和大多数的web框架都支持不同版本的SSL和TLS，使用的基本要求是能够访问公钥基础设施以获取证书。能够保安在现证书协议状态。一检查证书的吊销状态，协议版本支持的最低配置以及每个版本的协议选择。

01

MySQL之父好评，开源社区点赞的背后，这帮人做了哪些事？

在云计算越来越火的今天，我们不难预测，云上的MySQL在未来的数据库市场也将是主流。在很多人的理解中，云托管数据库服务是“暴利”。而实际上，在这个海量数据大爆发的时代，开源版本的MySQL很难满足很多企业的业务需求，在某些场景下，无论是性能、安全还是稳定性，都面临着各种各样的问题，产品能力不足的云数据库MySQL也很难在竞争激烈的市场找到属于自己的舞台。上周的一篇文章数据君分享了近期腾讯云MySQL入选顶会的故事，这一期想和大家谈谈，在应用场景下，这帮人又做了哪些事？回顾腾讯云数据库MySQL的

03

云原生应用交付平台Orbit设计理念与价值主张

Orbit 是腾讯云 CODING 推出的一个企业级云原生应用交付平台（图3-1）。Orbit 以应用为中心进行设计，主要包括应用建模、应用交付、应用运维和声明式基础设施设施交付 4 个方面进行平台设计，围绕着基于 OAM 应用建模、Application As Code、GitOps 版本化管理、统一可观测性 4 个维度进行具体价值主张声明。

02

网络安全专家对APT及AVT的本质与特征分析

“APT是一种连续性针对被攻击者系统存储的攻击行为，而且这种攻击通常没有明显的攻击特征。而AVT则会在获取敏感资料并准备离开被攻击系统前清除曾进行过相关操作的痕迹。” 高级持续威胁（APT） APT（又称“高级持续攻击”）常常用于获取一个网络的权限，随后在某一段较长的时间段内获取目标组织的网络及系统中的敏感数据，并秘密监视相关系统的活动。多数相关的研究人员都认可美国政府在2005间所发布的安全分析文件中所描述的“一种针对特定对象的资产或敏感信息而发动的复杂及持久性网络攻击性”中对APT这个行为的定义。这个

05

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭