tag
API金鑰
該標籤下有 2 篇文章
2026-06-12
用 gitleaks 在提交前攔下金鑰:在 push 之前堵住 API 金鑰洩漏
金鑰『洩漏後再刪』就晚了。一旦被提交,金鑰就會留在 Git 歷史裡,被 push 後就要按已洩漏處理、撤銷並輪換金鑰。gitleaks 是一款免費工具,用正規表示式/熵對整個儲存庫和提交歷史進行掃描,檢出 API 金鑰、私鑰、token。防守的關鍵是兩道攔截點=①用 pre-commit 掛鉤在本地 push 前攔住②用 CI/cron 定期抓住漏網之魚。.gitignore 只能阻止新的追蹤、無法檢出=還需要單獨的檢測器。
2026-06-07
安全超入門:.env 和 API key 到底危險在哪、又該怎麼守
第一步。先理解 .env 和 API key 洩漏後會發生什麼(配出來的鑰匙→冒名頂替→被盜刷),再從今天起做好這 4 件事:『不公開、不提交、洩漏就全部更換、定期自查』。