Github - 记录一次对“不小心包含了密码的PR”的修复

前言

和好朋友一起开发一个字节跳动青训营抖音电商后端(now private)的项目，某大佬不小心把本地一密码commit上去并提了PR。

PR一旦发出则无法被删除，且其包含的commit也能被所有能看到这个仓库的人看到。虽然是本地一密码，泄露了也不是很严重，但最好还是隐藏一下这个信息。

思路

思路为：

强制重写本次PR的commits
删除评论、Action等所有可能带有“密码泄露sha”的记录
加强安全防范

其他人无法得知密码泄露的那次commit的sha，也就无法找到泄露的密码。

实操

强制重写本次PR的commits

其实PR中包含“密码commit”不用惊慌，重写包含密码commit的源分支，与协作者沟通并强制push即可。

但是由于误操等原因，PR被close并且源分支被删除了。于是思路变成了：恢复源分支 -> 重新打开PR -> 强制重写源分支。

这里需要补充一丢丢Github PR的知识：

Pull Request(PR)通常是开发者想将一个分支(源分支)合并到另一个分支(目标分支)从而提交的更改请求。

a分支对b分支的PR在同一时间只能存在一个(关闭的PR除外)，提出PR后合并之前任何对a分支的更改都将同步反映到PR上，直到PR被合并或关闭为止。

一个PR被强制关闭后，想要重新打开的前提是a分支依然存在并且还是提PR时候的a分支（另创分支并起名为a、被关闭PR中的commit强制重写过的a分支不算）。

问题是远端(Github)a分支被删除了，还没拉取到本地过，还能恢复这个a分支到PR关闭时的状态（或在此状态上新增了commit的状态）吗？当然可以，这就是Git：

git fetch origin pull/<PR编号>/head:<分支名>
git switch <分支名>

之后就可以push到远端，重新开启PR，本地回滚，隐匿密码，重新commit，强制push到远端，关闭PR并删除远端分支(可选)了。

git push --set-upstream origin <分支名>
gh pr reopen 30
git reset HEAD^
vim config.toml
git add xxx
git commit -s -m "xxx"
git push --force
gh pr close 30 -c "历史已重写"
git push origin --delete <分支名>

删除“密码泄露sha”的出现位置

虽然带有密码的commit被删除了，不会被合并到各个分支中了，变成了“游离”的commit。

但是其他人知道这个commit的sha的话，还是能够访问。

也许Github服务器上什么时候会在git gc的时候清除这个commit，但暂未寻找相关文档，是否会发生以及发生具体时间不详。

但是所幸，commit的message以及action的记录都是可以强制删除的，注意GitGuardian等即使修改了历史评论，但github上仍然可以看到历史评论，记得删除历史评论。

加强安全防范

最好的办法就是在本地仓库创建一个预提交的钩子，但是需要每个Collaborator自己在本地分别安装，最少也要执行一下git config --local core.hooksPath xxx钩子文件命令。

然后提交的时候最好不要git add .或git add *之类的，最好一个一个看看。

其次就是使用一些密码泄露检测工具，放在文章结尾部分了。

好用的密码泄露检测工具可以一旦密码泄露立即报警，若不慎泄露则需要和其他成员沟通并强制push，必要的话可能需要更改密码。

End

推荐一个第三方秘密检测工具GitGuardian，检测功能强大，能根据代码语境检测。

自荐一个简单的密码检测BotLet Secret Monitor，支持自定义密钥信息，普通的commit在push后也会触发检测。

The Real End, Thanks!

原创不易，转载经作者同意后请附上原文链接哦~
Tisfy：https://letmefly.blog.csdn.net/article/details/145469338