تجنب تسريب المعلومات الشخصية في المدونة
Categories:
تُستخدم منصة GitHub Pages مفتوحة المصدر مجانًا بشكل واسع، ويُنشر العديد من المدونات من خلال GitHub Pages.
لكن نسختها المجانية تشترط جعل المستودع عامًا للسماح بالوصول العام. وبمجرد جعل المستودع عامًا، يمكن الوصول إلى بعض المقالات المعلمة كمسودة أيضًا من مستودع Git.
على الرغم من أن المقالات العامة تحتوي على معلومات حساسة أقل، إلا أن المستودع المصدر للمدونة مفتوحة المصدر قد يسرب معلومات شخصية. فيما يلي بعض كلمات البحث الشائعة للتسريبات، ونرحب بالتعليقات لإضافتها.
كلمات حساسة
| الكلمة المفتاحية بالصينية | الكلمة المفتاحية بالإنجليزية |
|---|---|
| 密码 | password |
| 账号 | account |
| 身份证 | id |
| 银行卡 | card |
| 支付宝 | alipay |
| 微信 | |
| 手机号 | phone |
| 家庭住址 | address |
| 工作单位 | company |
| 社保卡 | card |
| 驾驶证 | driver |
| 护照 | passport |
| 信用卡 | credit |
| 密钥 | key |
| 配置文件 | ini |
| 凭证 | credential |
| 用户名 | username |
البحث باستخدام التعبير العادي:
(密码|账号|身份证|银行卡|支付宝|微信|手机号|家庭住址|工作单位|社保卡|驾驶证|护照|信用卡|username|password|passwd|account|key\s*:|\.ini|credential|card|bank|alipay|wechat|passport|id\s*:|phone|address|company)
إذا كنت تستخدم VSCode كمحرر مدونة، يمكنك استخدام البحث باستخدام التعبير العادي للبحث السريع في الموقع بأكمله للتحقق من المواقع التي قد تتسرب منها المعلومات.
السجل Git
قد يحتوي سجل Git على تسريب معلومات، ويمكن مسح معلومات مستودع المدونة مفتوحة المصدر من خلال نص بسيط.
إذا كان المستودع خاصًا بك، فيمكنك مسح السجل من خلال الطرق التالية. إذا كنت بحاجة للحفاظ على سجل التاريخ، فلا تقم بالمسح.
يرجى التأكد من فهمك لمعنى الأوامر، لأنها ستقوم بمسح السجل. يرجى الحذر في التشغيل، واحفظ البيانات المهمة قبل التشغيل.
git reset --soft ${first-commit}
git push --force
طرق أخرى لمسح المستودع
https://github.com/trufflesecurity/trufflehog
- ابحث عن بيانات الاعتماد المسربة وتحقق منها وحللها
17.2kنجوم1.7kاستنساخ
طرق أخرى لنشر المدونة
- يدعم Github Pro نشر مستودع خاص إلى Pages، بسعر 4 دولارات شهريًا
- اجعله مستودعًا خاصًا وانشر إلى Cloudflare Pages
- قسم المستودعات، مستودع خاص لتخزين المقالات قيد التحرير، ومستودع عام لتخزين المقالات القابلة للنشر
إذا كانت مدونتك تستخدم نظام تعليقات مثل giscus الذي يعتمد على github، فستظل بحاجة إلى مستودع عام.
العادة الجيدة مقابل الآلية الجيدة
عند مناقشة مشكلة تسريب المعلومات الشخصية في مدونة مفتوحة المصدر، يعتقد العديد من الأشخاص أنه طالما لا يتم رفع المعلومات الحساسة إلى المستودع، فلن تكون هناك مشكلة.
هذه عبارة عن هراء غير مفيد، تمامًا كما لو طُلب من المبرمجين عدم كتابة الأخطاء، صحيحة ولكن بلا فائدة. الاعتماد على العادات لحماية المعلومات الشخصية غير موثوق به. لا تثق بسهولة في عادات شخص ما، فقد ينسى في أي وقت.
أحيانًا يكون للكتابة بعض العبارات المؤقتة، خاصةً في مدونات التقنية للمبرمجين، قد يكتب البعض نصوصًا قصيرة بسرعة دون أن يتذكروا دائمًا استخدام المتغيرات البيئية، وبالتالي تبقى احتمالية ترك معلومات حساسة.
معظم الناس يفهمون ما هي العادة الجيدة، لذلك لن نناقش العادات الجيدة هنا، بل سنشارك بشكل أساسي كيفية تجنب تسريب المعلومات الشخصية من خلال الآليات.
أولاً، قسم المستودعات، افصل بين مستودع المسودة ومستودع النشر، جميع المقالات المنشورة على Github Pages مراجعة ولا توجد مقالات بحالة draft مسربة.
يمكنك أيضًا من خلال Github Action، مسح المعلومات الحساسة في كل مرة يتم فيها الإرسال، وإذا وجدت معلومات حساسة، فلا يُسمح بالإرسال، راجع trufflehog
التعبير العادي الذي نشاركه في هذه المقالة هو مجرد مثال بسيط، لم يتم دمجه في أي عملية، يمكنك وفقًا لاحتياجاتك، إجراء المزيد من التخصيص ودمجه في العملية.