1 artículo con esta etiqueta
Los secretos no se pueden «borrar después de que se filtran». Una vez con commit, un secreto se queda en el historial de Git, y una vez con push debe tratarse como filtrado — la clave necesita revocarse/rotarse. gitleaks es una herramienta gratuita que escanea todo el repo y el historial de commits con regex/entropía para encontrar claves de API, claves privadas y tokens. El núcleo de la defensa son dos puertas: un hook de pre-commit que lo detiene localmente antes del push, y CI/cron que atrapa lo que se cuela. .gitignore solo evita el nuevo seguimiento — no puede detectar, así que aún necesitas un escáner.