分支提交包含敏感密钥如何彻底从历史清除？

最稳妥的方案是先用 git filter-repo 重写历史移除文件，再强制推送覆盖远程仓库，但最关键的一步是立即轮换所有泄露的密钥，因为历史清除无法保证未被他人缓存。

先说结论：单纯删除文件无效，必须重写 Git 历史对象，且事后必须假设密钥已泄露并进行轮换。

• 先判断：确认敏感文件路径及提交范围，评估是否值得重写历史（涉及协作者成本）。
• 优先做：使用 git filter-repo 清除历史，并立即轮换密钥。
• 再验证：强制推送后通知全员重新克隆，并检查新仓库中是否还能检索到敏感内容。
• 必备份：操作前必须克隆裸仓库备份，以便操作失误时回滚。

操作前检查清单

在执行任何重写历史操作前，请完成以下检查，防止不可逆的数据丢失：

• 备份裸仓库：克隆一个包含所有引用和对象的完整备份。

  git clone `--mirror` https://github.com/your/repo.git backup-repo

• 确认本地同步：确保本地分支与远程最新状态一致，避免基于旧历史重写。

  git fetch `--all`
  git reset `--hard` origin/main

• 通知团队：强制推送会破坏他人本地历史，需提前通知协作者暂停提交。
• 检查保护分支：若远程仓库开启了分支保护（如 GitHub Protected Branches），需先在平台设置中临时关闭，否则强制推送会被拒绝。

清理实操步骤

以下命令需在仓库根目录执行。优先推荐使用 git filter-repo，因其速度更快且安全性高于已弃用的 filter-branch。

方案 A：使用 git filter-repo（推荐）

需先安装工具，并确保是在一个新鲜克隆的仓库中运行（或加 `--force` 参数）。

pip install git-filter-repo
git filter-repo `--path` 敏感文件路径 `--invert-paths` `--force`

方案 B：使用 git filter-branch（内置但已弃用）

仅在无法安装新工具时使用，注意 Shell 引号转义问题。

git filter-branch `--force` `--index-filter` 'git rm `--cached` `--ignore-unmatch` 敏感文件路径' `--prune-empty` `--tag-name-filter` cat -- `--all`

清理与推送

重写历史后，本地会残留旧对象，必须清理后再推送。

git reflog expire `--expire`=now `--all`
git gc `--prune`=now `--aggressive`
git push origin `--force` `--all`
git push origin `--force` `--tags`

路径匹配规则说明

使用 filter-repo 时，路径匹配规则直接影响清除效果，请根据文件位置调整：

• 精确匹配根目录文件：使用斜杠前缀，如 `--path` /secrets.txt 仅匹配根目录下的文件。
• 匹配任意层级文件：不加斜杠，如 `--path` secrets.txt 会匹配所有目录下的同名文件。
• 匹配整个目录：如 `--path` config/secrets/ 可清除整个文件夹及其内容。
• 支持通配符：部分版本支持 `--path-glob` 进行更复杂的匹配。

验证清除效果

操作完成后，务必通过以下方式验证敏感信息是否彻底清除：

1. 本地检索

在本地仓库运行以下命令，确认无输出：

git log `--all` `--full-history` -- 敏感文件路径

2. 全新克隆验证

在临时目录执行克隆，再次检索敏感内容，确保没有残留对象：

cd /tmp
git clone https://github.com/your/repo.git test-clone
cd test-clone
git log `--all` `--full-history` -- 敏感文件路径

3. 检查远程平台

部分代码托管平台（如 GitHub）可能有缓存，若敏感信息已公开，建议联系平台支持或暂时私有化仓库。

意外回滚与恢复

若清理操作导致仓库损坏或误删重要提交，可使用操作前备份的裸仓库恢复：

# 清空当前损坏的仓库内容
rm -rf .git/*# 从备份恢复
git clone backup-repo . `--force`# 重新推送恢复后的状态
git push origin `--force` `--all`

注意：恢复操作同样会覆盖远程历史，请确保备份是操作前的安全状态。

常见风险与规避

1. 密钥未轮换

清除历史不能消除泄露风险。一旦密钥进入历史，就应视为已泄露，必须立即在服务商处作废并生成新密钥。

2. 强制推送破坏分支

git push `--force` `--all` 会覆盖所有分支。若只想清理主分支，建议指定分支名推送，如 git push origin main `--force`，避免影响其他开发分支。

3. 协作者同步失败

强制推送后，其他成员的本地分支与远程不一致，git pull 会报错。他们不能简单合并，必须重新克隆或执行复杂的重置操作。

4. CI/CD 缓存

部署流水线或 Docker 构建上下文若缓存了旧仓库副本，可能会重新引入敏感文件，需清理相关构建缓存。

参考文档

• git-filter-repo 官方文档
• Git filter-branch 官方文档
• GitHub 移除敏感数据指南

原文链接：https://www.zjcp.cc/ask/11320.html