如果 Git 仓库历史中混入了密码或密钥,最稳妥的方案是使用 BFG Repo-Cleaner 重写历史,但必须意识到这会修改提交记录,需要强制推送并通知所有协作者。
先说结论:BFG 适合批量清理大文件或敏感文本,操作比 git filter-branch 简单,但属于破坏性操作,务必先备份。
- 先判断:确认泄露范围,评估是否必须重写历史,避免影响协作者。
- 优先做:本地备份仓库,使用 BFG 清理敏感数据,执行垃圾回收。
- 再验证:检查本地历史确认无泄露,强制推送到远程,通知团队重新克隆。
命令速用版
# 下载 BFG jar 包后,针对裸仓库执行清理
java -jar bfg.jar `--delete-files` secret.txt my-repo.git# 清理完成后,进入仓库目录执行垃圾回收
git reflog expire `--expire`=now `--all`
git gc `--prune`=now `--aggressive`原理简述
Git 的设计保证了历史的不可变性,普通的删除提交或文件操作只会增加新的提交,旧数据依然存在于对象数据库中。即使你在最新提交中删除了密钥,任何人只要查看历史记录仍能找回。BFG 通过重写提交对象,从根源上移除包含敏感信息的 blob 对象,从而彻底清除痕迹。
分步处理
1. 备份仓库
在执行任何重写操作前,完整复制一份当前的仓库目录,以防操作失误无法恢复。若清理失败,可直接删除当前目录并使用备份还原。
2. 创建裸克隆
BFG 官方建议在裸仓库上运行,以减少内存占用并避免工作树干扰。
git clone `--mirror` git@example.com:my-repo.git3. 运行 BFG
根据泄露类型选择参数,例如删除特定文件或替换文本。
# 删除名为 password.conf 的文件历史
java -jar bfg.jar `--delete-files` password.conf my-repo.git# 替换文本内容(如密钥字符串)
java -jar bfg.jar `--replace-text` passwords.txt my-repo.git4. 清理引用
进入清理后的仓库目录,清除旧引用并压缩对象。
cd my-repo.git
git reflog expire `--expire`=now `--all`
git gc `--prune`=now `--aggressive`5. 强制推送
将清理后的历史推送到远程仓库,覆盖原有历史。建议使用 `--force-with-lease` 更安全。
git push `--force-with-lease` origin <branch-name>怎么验证是否生效
使用 git log 配合搜索命令检查历史中是否仍包含敏感字符串。注意需搜索文件内容而非仅文件名。
# 搜索提交内容中的敏感词
git log -G 'password' `--all`# 或在本地搜索 git 对象
git rev-list `--all` | xargs git grep -i "password"如果命令无输出,说明本地仓库已清理干净。远程仓库需在 GitHub 或 GitLab 界面查看提交历史确认。
常见坑与预防
- 强制推送风险:git push `--force` 会覆盖远程历史,导致其他协作者的本地仓库与远程冲突,必须提前通知。
- 本地缓存:清理远程后,其他团队成员必须删除本地克隆重新拉取,否则他们的本地历史仍保留旧数据。
- 大仓库内存:超大仓库运行 BFG 可能需要调整 Java 堆内存,例如 java -Xmx2G -jar bfg.jar。
- 受保护分支:部分平台(如 GitHub)对受保护分支禁止强制推送,需暂时关闭保护规则。
- 预防再次泄露:建议配置 pre-commit hook 阻止敏感文件提交。示例脚本如下:
#!/bin/sh
# .git/hooks/pre-commit
if git grep -i 'password' `--cached`; thenecho "Error: Potential secret found in staged files."exit 1
fi参考来源
- BFG Repo-Cleaner Official Site, https://rtyley.github.io/bfg-repo-cleaner/
- GitHub Docs, Removing sensitive data from a repository, https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/removing-sensitive-data-from-a-repository
原文链接:https://www.zjcp.cc/ask/11187.html