前言

​ 定期备份博客到GitHub上,今天有时间写博客,就随便deploy上GitHub。没想到,刚刚update上去就有短信、邮件发过来说的的腾讯云api已经在GitHub上泄露,接着有腾讯云那边电话打过来提醒。值得表扬!

收到的短信


46d7bab18f016f80fb349078f5621014.png


登录控制台

​ 查看风险,会下载一分.cxv文档。里面有泄露密钥的地址


b2802627d0a32d75642600f918da5a2b.png


5d655ee2a0fcca37e4317317b63d2a5c.png


结语

​ 1.不要随手保存API、密钥。大概回忆一下。当时是在写相关的笔记,然后做测试,就随手把密钥写在上面。坏习惯。

​ 2.任何密钥都不可能保存在代码库里,它属于一种数据,是另外通过专用的vault存储,部署时有机制可以嵌入到最终build里去。

难道腾讯云会一直扫描GitHub新提交的代码?然后后台怎么处理呢?

相关链接