在 public 存储库中发布 npm 密钥
Publish npm secret key in public repository
我有关于 github 的问题。
我在 public 存储库中发布了 npm 密钥,github 删除了该密钥。但是我不明白,有人可以看到这个密钥并有时间下载我的包吗?
作为 GitHub documentation states,您推送到存储库的任何机密都必须被视为已泄露。有些服务会扫描存储库中的秘密并尝试立即利用它们。
如果您担心是否有人滥用了这些凭据,您可以查看 npm 是否有最近使用该令牌执行的操作的列表,并查看它是否被除您以外的其他人使用。除此以外,您只需要假设有人在该令牌暴露期间确实可以访问该令牌并进行适当的取证调查。
我有关于 github 的问题。
我在 public 存储库中发布了 npm 密钥,github 删除了该密钥。但是我不明白,有人可以看到这个密钥并有时间下载我的包吗?
作为 GitHub documentation states,您推送到存储库的任何机密都必须被视为已泄露。有些服务会扫描存储库中的秘密并尝试立即利用它们。
如果您担心是否有人滥用了这些凭据,您可以查看 npm 是否有最近使用该令牌执行的操作的列表,并查看它是否被除您以外的其他人使用。除此以外,您只需要假设有人在该令牌暴露期间确实可以访问该令牌并进行适当的取证调查。