Eliminar archivos confidenciales y sus confirmaciones del historial de Git

Cambiar sus contraseñas es una buena idea, pero para el proceso de eliminación de contraseñas del historial de su repositorio, recomiendo el BFG Repo-Cleaner, una alternativa más rápida y simple a git-filter-branch diseñada explícitamente para eliminar datos privados de los repositorios Git.

Cree un archivo private.txt que enumere las contraseñas, etc., que desea eliminar (una entrada por línea) y luego ejecute este comando:

$ java -jar bfg.jar  --replace-text private.txt  my-repo.git

Todos los archivos bajo un tamaño de umbral (1MB por defecto) en el historial de su repositorio serán escaneado, y cualquier cadena coincidente (que no esté en su última confirmación) será reemplazada por la cadena "***REMOVED***". Luego puede usar git gc para limpiar los datos muertos:

$ git gc --prune=now --aggressive

El BFG es típicamente 10-50x más rápido que ejecutar git-filter-branch y las opciones se simplifican y adaptan en torno a estos dos casos de uso comunes:

• Eliminar Archivos grandes locos
• Eliminando Contraseñas, Credenciales y otras Privadas datos

Revelación completa: Soy el autor del Repo-Cleaner de BFG.

Recomiendoeste guion de David Underhill, funcionó como un encanto para mí.

Agrega estos comandos además de la rama de filtro de natacado para limpiar el desorden que deja atrás:

rm -rf .git/refs/original/
git reflog expire --all
git gc --aggressive --prune

Guión completo (todo crédito a David Underhill)

#!/bin/bash
set -o errexit

# Author: David Underhill
# Script to permanently delete files/folders from your git repository.  To use 
# it, cd to your repository's root and then run the script with a list of paths
# you want to delete, e.g., git-delete-history path1 path2

if [ $# -eq 0 ]; then
    exit 0
fi

# make sure we're at the root of git repo
if [ ! -d .git ]; then
    echo "Error: must run this script from the root of a git repository"
    exit 1
fi

# remove all paths passed as arguments from the history of the repo
files=$@
git filter-branch --index-filter \
"git rm -rf --cached --ignore-unmatch $files" HEAD

# remove the temporary history git-filter-branch
# otherwise leaves behind for a long time
rm -rf .git/refs/original/ && \
git reflog expire --all && \
git gc --aggressive --prune

Los dos últimos comandos pueden funcionar mejor si se cambian a lo siguiente:

git reflog expire --expire=now --all && \
git gc --aggressive --prune=now

Si ya has empujado a GitHub, los datos se ven comprometidos incluso si los empujas un segundo más tarde porque:

• GitHub sigue colgando confirmaciones durante mucho tiempo.

  GitHub personal tiene el poder de eliminar dicha colgando confirma si usted en contacto con ellos, sin embargo, que es lo que debe hacer: Cómo quitar un colgando cometer desde GitHub?

  Las confirmaciones colgantes se pueden ver a través de:

  • la interfaz web de confirmación: https://github.com/cirosantilli/test-dangling/commit/53df36c09f092bbb59f2faa34eba15cd89ef8e83 (Wayback machine )
  • la API: https://api.github.com/repos/cirosantilli/test-dangling/commits/53df36c09f092bbb59f2faa34eba15cd89ef8e83 ( Wayback machine)

  Una forma conveniente de obtener el código fuente en ese commit es usar el método download zip, que puede aceptar cualquier referencia, p. ej.: https://github.com/cirosantilli/myrepo/archive/SHA.zip

• Es posible obtener los SHAs faltantes ya sea por:

  • listado de eventos API con type": "PushEvent". P. ej. mío: https://api.github.com/users/cirosantilli/events/public ( Wayback machine )
  • más convenientemente a veces, mirando los SHAs de pull requests que intentaron eliminar el contenido

• Hay raspadores como http://ghtorrent.org / y https://www.githubarchive.org / que agrupan regularmente los datos de GitHub y los almacenan en otro lugar.

  No pude encontrar si raspan la diferencia real de commit, pero es técnicamente posible.

Para probar esto, he creado un repo: https://github.com/cirosantilli/test-dangling y hecho:

git init
git remote add origin [email protected]:cirosantilli/test-dangling.git

touch a
git add .
git commit -m 0
git push

touch b
git add .
git commit -m 1
git push

touch c
git rm b
git add .
git commit --amend --no-edit
git push -f

Si elimina el repositorio sin embargo, las confirmaciones desaparecen incluso de la API inmediatamente y dan 404, e. g.https://api.github.com/repos/cirosantilli/test-dangling-delete/commits/8c08448b5fbf0f891696819f3b2b2d653f7a3824 Esto funciona incluso si recreas otro repositorio con el mismo nombre.

Así que mi curso de acción recomendado es:

• Cambie sus credenciales

• Si eso no es suficiente (por ejemplo, fotos desnudas):

  • eliminar el repositorio
  • póngase en contacto con el soporte

Para ser claros: La respuesta aceptada es correcta. Pruébalo primero. Sin embargo, puede ser innecesariamente complejo para algunos casos de uso, particularmente si encuentra errores desagradables como 'fatal: bad revision pr prune-empty', o realmente no le importa el historial de su repositorio.

Una alternativa sería:

1. cd a la rama base del proyecto
2. Elimine el código / archivo sensible
3. rm-rf .git / # Eliminar toda la información de git de su código
4. Vaya a github y elimine su repositorio
5. Siga esta guía para enviar su código a un nuevo repositorio como lo haría normalmente - https://help.github.com/articles/adding-an-existing-project-to-github-using-the-command-line/

Esto, por supuesto, eliminará todas las ramas del historial de confirmaciones y los problemas tanto de tu repositorio de github como de tu repositorio de git local. Si esto es inaceptable, tendrá que utilizar un enfoque alternativo.

Llame a esto la opción nuclear.

Aquí está mi solución en windows

Git filter-branch tree tree-filter "rm-f' filedir / filename '" HEAD

Git push force force

Asegúrese de que la ruta es correcta de lo contrario no funcionará

Espero que ayude

Use filter-branch :

git filter-branch --force --index-filter 'git rm --cached --ignore-unmatch *file_path_relative_to_git_repo*' --prune-empty --tag-name-filter cat -- --all

git push origin *branch_name* -f

Puede usar git forget-blob.

El uso es bastante simple git forget-blob file-to-forget. Puede obtener más información aquí

Https://ownyourbits.com/2017/01/18/completely-remove-a-file-from-a-git-repository-with-git-forget-blob/

Desaparecerá de todas las confirmaciones en tu historial, reflog, etiquetas, etc.

Me encuentro con el mismo problema de vez en cuando, y cada vez que tengo que volver a este post y otros, es por eso que automatizé el proceso.

Créditos a colaboradores de Stack Overflow que me permitieron armar esto

He tenido que hacer esto un par de veces hasta la fecha. Tenga en cuenta que esto solo funciona en 1 archivo a la vez.

1. Obtiene una lista de todas las confirmaciones que modificaron un archivo. El que está en la parte inferior será el primer commit:

   git log --pretty=oneline --branches -- pathToFile

2. Para eliminar el archivo del historial use el primer commit sha1 y la ruta al archivo del comando anterior, y rellénelos en este comando:

   git filter-branch --index-filter 'git rm --cached --ignore-unmatch <path-to-file>' -- <sha1-where-the-file-was-first-added>..

Entonces, se ve algo como esto:

git rm --cached /config/deploy.rb
echo /config/deploy.rb >> .gitignore

Elimine la caché para el archivo rastreado de git y agregue ese archivo a la lista .gitignore