《Git 简易速速上手小册》第8章:保护你的代码(2024 最新版)

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 《Git 简易速速上手小册》第8章:保护你的代码(2024 最新版)

87379f0d26f7ff0fd95b1e9e24abab1.png

8.1 使用 .gitignore 优化你的仓库

在每个 Git 仓库的生命中,.gitignore 文件扮演着守门人的角色,决定哪些文件可以进入仓库的殿堂,哪些应该被留在门外。正确配置 .gitignore 文件是保持仓库整洁、减少不必要的项目体积和避免敏感信息泄露的关键步骤。

8.1.1 基础知识讲解

  • 作用与重要性.gitignore 文件告诉 Git 哪些文件或目录是不应该被添加到版本控制中的。这通常包括编译产生的文件、系统生成的文件、包管理器的目录(如 Python 的 venv 目录)和开发工具生成的配置文件等。
  • 配置方法:在项目的根目录下创建一个 .gitignore 文件,并在文件中指定要忽略的文件模式。Git 会自动识别并应用这些规则。

8.1.2 重点案例:为 Python 项目配置 .gitignore

假设你正在开发一个 Python Web 应用,并希望确保所有不必要的文件都不会被提交到仓库中。

步骤

  1. 在项目的根目录下创建 .gitignore 文件。
  2. 添加以下内容来忽略常见的不必要文件:
# Byte-compiled / optimized / DLL files
__pycache__/
*.py[cod]
*.so
# Virtual environment
venv/
.env
# IDE settings
.idea/
*.swp
*.swo
.vscode/

这样配置后,Git 将会忽略上述指定的文件和目录,使得你的仓库更加干净、轻便。

8.1.3 拓展案例 1:使用全局 .gitignore

如果你有一些通用的忽略规则适用于所有项目(比如编辑器的临时文件),你可以配置一个全局的 .gitignore 文件。

步骤

  1. 创建一个全局 .gitignore 文件,例如在你的用户目录下:
touch ~/.gitignore_global
  1. 添加通用忽略规则,如:
.DS_Store
*.log
  1. 通过 Git 配置命令指定这个文件为全局 .gitignore
git config --global core.excludesfile ~/.gitignore_global

8.1.4 拓展案例 2:忽略已经被跟踪的文件

有时候,你可能会意外地提交了应该被忽略的文件。要从 Git 仓库中移除这些文件(但保留在本地),你可以使用以下命令:

git rm --cached FILENAME

然后,确保 .gitignore 已经正确配置以忽略未来的提交。

通过本节,你已经了解了如何有效地使用 .gitignore 来优化你的仓库,不仅使其更加整洁,也提高了项目的安全性。记住,良好的 .gitignore 配置是每个项目成功的基石之一。现在,就让我们采取行动,为你的项目构建一个强大的 .gitignore 防线吧!


8.2 管理敏感数据

在开发过程中,管理敏感数据是维护项目安全的关键一环。无论是 API 密钥、数据库密码还是配置文件,不当地处理这些信息都可能导致安全漏洞。幸运的是,有多种方法可以帮助我们安全地管理这些敏感数据,而不必将它们硬编码在源代码中。

8.2.1 基础知识讲解

  • 环境变量:使用环境变量是管理敏感数据的一种常见做法。它们可以在运行时提供给应用,而不是存储在项目的代码库中。
  • 加密秘钥:对于存储或版本控制中必须包含的配置文件,可以使用工具对敏感数据进行加密。
  • 专用管理工具:使用如 HashiCorp Vault、AWS Secrets Manager 或 Azure Key Vault 这样的秘钥管理服务,可以为敏感信息提供额外的安全层。

8.2.2 重点案例:为 Python 应用配置环境变量

假设你正在开发一个 Python Web 应用,需要访问数据库,但你不想在代码中直接包含数据库的连接字符串。

步骤

  1. 在你的操作系统中设置环境变量。以 Linux 或 macOS 为例:
export DATABASE_URL="你的数据库连接字符串"
  1. 在你的 Python 应用中,使用 os 模块来读取这个环境变量:
import os
database_url = os.getenv("DATABASE_URL")

这样,你的应用就可以在运行时获取数据库连接信息,而不需要将其存储在代码库中。

8.2.3 拓展案例 1:使用 git-secret 加密存储敏感数据

如果你的项目需要在版本控制中包含某些配置文件,但你想保护其中的敏感数据,git-secret 是一个有用的工具。

步骤

  1. 安装 git-secret 并初始化你的项目:
git secret init
  1. 将包含敏感数据的文件添加到 git-secret
git secret add my_sensitive_config.yml
  1. 加密文件:
git secret hide
  1. 提交其他人都可以安全获取但无法阅读的加密文件。

8.2.4 拓展案例 2:使用云服务管理 API 密钥

对于复杂的项目,使用云服务如 AWS Secrets Manager 来管理 API 密钥和其他敏感数据可以提供更高级的安全特性。

步骤

  1. 在 AWS Secrets Manager 中创建新的秘密来存储你的 API 密钥。
  2. 在你的应用中,使用 AWS SDK 来动态获取这些秘密:
import boto3
from botocore.exceptions import ClientError
def get_secret():
    secret_name = "my_api_secret"
    region_name = "us-west-2"
    session = boto3.session.Session()
    client = session.client(
        service_name='secretsmanager',
        region_name=region_name
    )
    try:
        get_secret_value_response = client.get_secret_value(
            SecretId=secret_name
        )
    except ClientError as e:
        raise e
    else:
        secret = get_secret_value_response['SecretString']
        return secret

通过本节,你已经学会了几种管理敏感数据的方法,从使用环境变量到利用专用工具加密和存储秘密信息。这些方法不仅可以帮助你保护敏感数据免受泄露,还能维护项目的整洁和安全。记住,处理敏感信息时总是要谨慎,采取所有必要的预防措施来保护你的项目和用户数据的安全。现在,让我们采取行动,实施这些最佳实践吧!


8.3 安全实践与权限控制

在任何软件项目中,实施有效的安全实践和权限控制机制是至关重要的。这不仅有助于保护代码免受未授权访问和修改,还能确保敏感信息不被泄露。Git 和各种托管平台提供了多种工具和设置,让你能够精细控制谁可以访问和修改你的代码。

8.3.1 基础知识讲解

  • 分支保护:大多数 Git 托管服务,如 GitHub、GitLab 和 Bitbucket,都提供了分支保护功能,使你能够限制对关键分支的写入访问。
  • 权限分级:通过为不同的团队成员分配不同级别的权限(如读取、写入、管理员权限),可以精确控制他们对仓库的访问和操作能力。
  • 审核日志:使用托管服务提供的审核日志功能来跟踪谁做了什么更改,有助于增强安全性和透明度。

8.3.2 重点案例:为 Python 项目实施分支保护

假设你正在开发一个 Python 应用,并使用 GitHub 作为代码托管平台。你希望确保 main 分支免受未经审查的更改。

步骤

  1. 登录 GitHub,导航到你的项目仓库。
  2. 进入 “Settings” > “Branches”,点击 “Add rule” 来为 main 分支添加保护规则。
  3. 在 “Branch protection rules” 中,启用 “Require pull request reviews before merging”。你也可以选择其他保护选项,如 “Require status checks to pass before merging”。

8.3.3 拓展案例 1:使用 Code Owners 自动要求审查

在大型项目中,使用 GitHub 的 Code Owners 功能自动指定合适的审查者对特定部分的更改进行审查,可以进一步提升代码质量和安全性。

步骤

  1. 在仓库根目录创建一个 CODEOWNERS 文件。
  2. 添加规则指定代码所有者,例如:
# 指定 @username 为根目录下所有 Python 文件的代码所有者
*.py @username

这样,每当有人提交了 Python 文件的更改,@username 将自动被要求审查这些更改。

8.3.4 拓展案例 2:利用 Git 钩子增强安全性

你可以利用服务器端 Git 钩子(如 pre-receive 钩子)来执行自定义脚本,审核即将被推送到仓库的提交,确保它们符合你的安全策略。

步骤

  1. 在服务器端仓库的 .git/hooks 目录中创建 pre-receive 脚本。
  2. 编写脚本来检查提交是否符合你的安全标准,例如,检查是否包含了明文存储的敏感信息。

通过本节,你已经了解了如何在你的项目中实施安全实践和权限控制,从而保护你的代码免受未经授权的访问和更改。无论是通过分支保护、权限分级还是利用 Git 钩子,都是保持你的项目安全的有效方法。记住,持续审查和改进你的安全策略是保护项目不断增长和发展的关键。现在,就让我们将这些实践应用到你的工作中,构建更安全、更可靠的软件项目吧!

目录
相关文章
|
4月前
|
IDE 网络安全 开发工具
【Azure App Service】Local Git App Service的仓库代码遇见卡住不Clone代码的问题
【Azure App Service】Local Git App Service的仓库代码遇见卡住不Clone代码的问题
【Azure App Service】Local Git App Service的仓库代码遇见卡住不Clone代码的问题
|
4月前
|
开发工具 数据安全/隐私保护 git
记录一次使用git工具拉取coding上代码密码账号错误的经历
这篇文章记录了作者在使用Git工具从Coding平台克隆项目时遇到的账号密码错误问题,并分享了通过清除电脑凭证中错误记录的账号密码来解决这个问题的方法。
记录一次使用git工具拉取coding上代码密码账号错误的经历
|
4月前
|
开发工具 git Python
通过Python脚本git pull 自动重试拉取代码
通过Python脚本git pull 自动重试拉取代码
202 5
|
2月前
|
开发工具 git
git如何修改提交代码时的名字和邮箱?
git如何修改提交代码时的名字和邮箱?
202 4
|
2月前
|
Java Linux 开发工具
IDEA中git提交前如何关闭code analysis以及开启格式化代码
【10月更文挑战第12天】本文介绍了在 IntelliJ IDEA 中关闭代码分析和开启代码格式化的步骤。关闭代码分析可通过取消默认启用检查或针对特定规则进行调整实现,同时可通过设置 VCS 静默模式在提交时跳过检查。开启代码格式化则需在 `Settings` 中配置 `Code Style` 规则,并通过创建 Git 钩子实现提交前自动格式化。
649 3
|
3月前
|
Shell 网络安全 开发工具
git与gitee结合使用,提交代码,文件到远程仓库
本文介绍了如何将Git与Gitee结合使用来提交代码文件到远程仓库。内容涵盖了Git的安装和环境变量配置、SSH公钥的生成和配置、在Gitee上创建仓库、设置Git的全局用户信息、初始化本地仓库、添加远程仓库地址、提交文件和推送到远程仓库的步骤。此外,还提供了如何克隆远程仓库到本地的命令。
git与gitee结合使用,提交代码,文件到远程仓库
|
2月前
|
JavaScript 前端开发 开发工具
一身反骨的我,用--no-verify绕开了git代码提交限制!
【10月更文挑战第7天】一身反骨的我,用--no-verify绕开了git代码提交限制!
149 0
|
4月前
|
Shell 开发工具 git
使用 Shell 代码简化 Git 步骤
【8月更文挑战第23天】本文介绍通过Shell脚本简化Git操作的方法:1) 使用`gitc "提交信息"`可一键完成代码提交与推送至远程仓库;2) 执行`gitpull`即可从远程仓库拉取最新代码并合并到当前分支;3) 输入`gitnewbranch 分支名称`快速创建并切换到新分支。将这些自定义函数加入`.bashrc`或`.zshrc`等配置文件后,即可随时调用简化版Git命令。
|
4月前
|
安全 开发工具 git
coding上创建项目、创建代码仓库、将IDEA中的代码提交到coding上的代码仓库、Git的下载、IDEA上配置git
这篇文章是关于如何在IDEA中配置Git、在Coding.net上创建项目和代码仓库,并将IDEA中的代码提交到远程代码仓库的详细教程,涵盖了Git安装、IDEA配置、项目创建、代码提交等步骤。
coding上创建项目、创建代码仓库、将IDEA中的代码提交到coding上的代码仓库、Git的下载、IDEA上配置git
|
5月前
|
开发工具 git
git或gitee 提交代码到远程仓库
git或gitee 提交代码到远程仓库
63 2