تجنب تسريب المعلومات الشخصية في المدونات
Categories:
يُستخدم بشكل شائع منصة GitHub Pages مفتوحة المصدر مجانية، ويُفضلها كثير من المدونات للنشر.
لكن النسخة المجانية تتطلب جعل المستودعات علنية للسماح بالوصول إليها علنًا. وبمجرد جعل المستودعات علنية، يمكن الوصول إلى المقالات المصنفة كمسودات أيضًا من مستودع Git.
على الرغم من أن المقالات المنشورة علنًا نادرًا ما تحتوي على معلومات حساسة، إلا أن المستودع المصدر للمدونة المفتوحة المصدر قد يسرب معلومات شخصية. فيما يلي بعض كلمات التسريب الشائعة، يُرحب بالتعليقات لإضافتها.
الكلمات الحساسة
| الكلمة المفتاحية بالصينية | الكلمة المفتاحية بالإنجليزية |
|---|---|
| 密码 | password |
| 账号 | account |
| 身份证 | id |
| 银行卡 | card |
| 支付宝 | alipay |
| 微信 | |
| 手机号 | phone |
| 家庭住址 | address |
| 工作单位 | company |
| 社保卡 | card |
| 驾驶证 | driver |
| 护照 | passport |
| 信用卡 | credit |
| 密钥 | key |
| 配置文件 | ini |
| 凭证 | credential |
| 用户名 | username |
البحث باستخدام التعبير العادي:
(密码|账号|身份证|银行卡|支付宝|微信|手机号|家庭住址|工作单位|社保卡|驾驶证|护照|信用卡|username|password|passwd|account|key\s*:|\.ini|credential|card|bank|alipay|wechat|passport|id\s*:|phone|address|company)
إذا كنت تستخدم VSCode كمحرر مدونة، يمكنك استخدام البحث بالتعبير العادي للبحث بسرعة في الموقع بأكمله للتحقق من المواقع التي قد تسرب معلومات.
تاريخ Git
قد يحتوي تاريخ Git على تسريب معلومات، ويمكن مسح تاريخ المدونة المفتوحة المصدر بسهولة باستخدام نص بسيط.
إذا كان المستودع خاصًا بك، يمكنك مسح التاريخ بالطرق التالية. إذا كنت بحاجة إلى الاحتفاظ بتاريخ، فلا تمسحه.
يرجى التأكد من فهمك لمعنى الأوامر. ستقوم هذه الأوامر بمسح التاريخ، يرجى التصرف بحذر، ويرجى نسخ البيانات المهمة احتياطيًا قبل الإجراء.
git reset --soft ${first-commit}
git push --force
طرق أخرى لمسح المستودع
https://github.com/trufflesecurity/trufflehog
- ابحث عن وتحقق من وحلل بيانات الاعتماد المسربة
17.2kنجمة1.7kنسخ
طرق أخرى لنشر المدونة
- يدعم Github Pro نشر المستودعات الخاصة إلى Pages، Pro أربعة دولارات شهريًا
- إعداد المستودع كخاص، ونشر إلى Cloudflare Pages
- تقسيم المستودعات، مستودع خاص للاحتفاظ بالمقالات قيد التحرير، ومستودع عام للاحتفاظ بالمقالات القابلة للنشر
إذا كانت مدونتك تستخدم نظام تعليقات مثل giscus الذي يعتمد على github، فستظل بحاجة إلى مستودع عام.
العادات الجيدة مقابل الآليات الجيدة
عند مناقشة مشكلة تسريب المعلومات الشخصية في المدونات المفتوحة المصدر، يعتقد كثير من الناس أنه طالما لا يتم رفع المعلومات الحساسة إلى المستودع، فلن تكون هناك مشكلة.
هذه عبارة فارغة من المعنى، تمامًا كما لو طُلب من المبرمجين ألا يكتبوا أخطاءً، صحيحة ولكن لا فائدة منها. الاعتماد على العادات لحماية المعلومات الشخصية غير موثوق به. لا تثق بسهولة في عادات شخص ما، فقد ينسى في أي وقت.
أحيانًا يكون للكتابة بعض العبارات المؤقتة، خاصةً في مدونات البرمجة التقنية، قد يكتب البرنامج النصي القصير بشكل عفوي، وقد لا يتذكر دائمًا استخدام المتغيرات البيئية، وبالتالي فإن احتمال ترك معلومات حساسة موجود بالتأكيد.
يُفهم أن معظم الناس يعرفون ما هي العادات الجيدة، لذلك لن نناقش العادات الجيدة هنا، وسنشارك بشكل رئيسي كيفية تجنب تسريب المعلومات الشخصية من خلال الآليات.
أولاً، تقسيم المستودعات، فصل مستودع المسودات عن مستودع النشر، جميع المقالات المنشورة على Github Pages قد تم مراجعتها، ولن تكون هناك مقالات بحالة draft مسربة.
يمكنك أيضًا استخدام Github Action لمسح المعلومات الحساسة في كل مرة يتم فيها الإرسال، وإذا وُجدت معلومات حساسة، فلا يُسمح بالإرسال، راجع trufflehog
البحث باستخدام التعبير العادي الذي نشاركه في هذه المقالة هو مجرد مثال بسيط، ولم يتم دمجه في أي عملية، يمكنك وفقًا لاحتياجاتك، إجراء المزيد من الأعمال المخصصة، ودمجه في العملية.