GitHub密钥泄露后怎么应急处理才安全

GitHub 上误提交密钥，比很多人想的更急。删掉 commit 或改成 private 只是表面处理，密钥一旦进过远程仓库，就要默认已经泄露。我见过有人只把文件删掉重新提交，结果旧 commit 还在，CI 日志里也可能已经打印过。 我的处理顺序是先停用或轮换密钥，再查这个 key 过去有没有调用记录。云厂商看 access log，SaaS 看 audit log，能限定来源 IP 和权限范围的先收紧。确认没有异常后，再清理仓库历史、CI 变量、部署脚本、Docker image 里有没有同一份 secret。别忘了通知相关 owner，不然有人还会拿旧 key 排查半天。 后面要补防线：pre-commit secret scan、GitHub secret scanning、最小权限 token、短期凭证、定期轮换。安全事故最怕只修这一次提交，不把密钥使用链路理清。你们团队发现泄…