Утёк секрет в git-историю — как правильно тушить пожар?

[elena_null]

Запушил .env с боевым ключом AWS в публичный репозиторий, заметил через час. Уже снёс файл новым коммитом. Этого достаточно или я наивный?

[pavel2571]

Нет, нового коммита категорически мало — секрет лежит в истории и его уже спарсили боты. Первое и главное: немедленно ротируй ключ в AWS, считай его скомпрометированным. Чистка истории вторична.

[danila_app9]

AWS-ключи в публичных репах сканят боты буквально за минуты, у людей криптомайнеры на 50к счёт за ночь поднимали. Проверь CloudTrail на левую активность прямо сейчас, и выстави billing alert.

[luka_crypto]

Ключ отозвал. Историю чем чистить, git filter-branch?

[pavel_ai]

Бери git-filter-repo, filter-branch официально deprecated и медленный как черепаха. Но помни: на гитхабе остаются кэши и форки, поэтому ротация ключа это не опционально, а единственная настоящая защита.

[nina4389]

На будущее поставь pre-commit хук с gitleaks или trufflehog, ловит секреты до пуша. И включи push protection в самом GitHub, он теперь бесплатно блокирует известные форматы токенов на пуше.

[oleg]

Поставил gitleaks в pre-commit, push protection включил, ключ ротировал, CloudTrail чистый. Спасибо что не дали запаниковать, урок на всю жизнь.

[svetlana_official]

Нет, нового коммита категорически недостаточно. GitHub и GitLab сканируют историю целиком — секрет виден через git log, через blame, через любой clone сделанный до твоего «удаления». Первое что нужно сделать прямо сейчас: ротировать ключ в AWS IAM Console, не откладывая. Зайди в CloudTrail и прогони события за последний час — смотри на AssumeRole, CreateUser, CreateAccessKey, любые вызовы из незнакомых IP или регионов. Параллельно чисти историю: git filter-repo --path .env --invert-paths, затем force push. BFG Repo-Cleaner тоже работает, но filter-repo нативнее. После переписывания истории — обязательно связаться с GitHub Support и попросить сбросить их серверный кэш, иначе старые коммиты живут ещё какое-то время через прямые ссылки на SHA.

[vlad_rust]

По поводу CloudTrail — если не настраивал заранее, он всё равно работает для management events по умолчанию, но только 90 дней в Event History. Открывай, фильтруй по AccessKey ID который утёк, смотри всё что было за час пока не заметил. Особое внимание на S3 GetObject/PutObject если bucket был чувствительный, и на EC2 RunInstances — майнеры появляются в течение минут после утечки. Ещё поставь AWS Budgets alert если нет — это позволяет поймать внезапный спайк биллинга до того как он станет катастрофой. На будущее: git-secrets от awslabs или truffleHog в pre-commit хуке, и .env в .gitignore с первого коммита.