本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
WKLD.04-防止應用程序秘密被暴露
在本機開發期間,應用程式機密可能儲存在本機組態或程式碼檔案中,並意外簽入原始程式碼儲存庫。公共服務供應商託管的不安全儲存庫可能會受到未經授權的存取,並隨後發現這些機密。使用可用的工具來防止機密被簽入。將檢查暴露的機密納入為手動程式碼審核程序的一部分。
可以阻止應用程式機密簽入原始程式碼儲存庫的一些常見工具包括:
-
吉特洩漏(存儲
庫)GitHub -
耳語
(GitHub儲存庫) -
檢測到的秘密(存儲
庫)GitHub -
git 秘密(存儲庫
)GitHub -
TruffleHog
(GitHub儲存庫)