我对github有疑问。
我在公共存储库中发布了npm秘密密钥,而github删除了该密钥。但我不明白,有人可以看到此密钥并有时间下载我的软件包吗?
答案 0 :(得分:1)
与GitHub documentation states一样,您推送到存储库的所有机密都必须视为已泄露。有些服务会扫描存储库中的秘密,并试图立即利用它们。
如果您担心有人是否滥用了这些凭据,则可以查看npm是否具有对该令牌最近执行的操作的列表,并查看它是否被您以外的其他人使用。除此以外,您只需要假设在令牌暴露期间确实确实有人可以访问该令牌,并进行适当的取证调查即可。