【发布时间】:2020-07-03 14:04:21
【问题描述】:
我对 github 有疑问。
我在公共存储库中发布了 npm 密钥,而 github 删除了这个密钥。但我不明白,有人可以看到这个密钥并有时间下载我的包吗?
【问题讨论】:
标签: github github-package-registry
【发布时间】:2020-07-03 14:04:21
【问题描述】:
作为GitHub documentation states,您推送到存储库的任何机密都必须被视为已泄露。有些服务会扫描存储库中的秘密并试图立即利用它们。
如果您担心是否有人滥用了这些凭据,您可以查看 npm 是否有最近使用该令牌执行的操作的列表,并查看它是否被您以外的其他人使用。除此之外,您只需假设某人在该令牌被暴露期间确实拥有该令牌的访问权限并进行适当的取证调查。
【讨论】: