如何避免敏感信息泄露到代码库中？

说到代码库里意外跑出来的密码、API Key，我的心里总会冒出一丝凉意。记得有一次，我的同事在提交前忘记删掉本地的 .env，结果在 PR 里直接裸露了 AWS 密钥，几乎让我们整个项目在凌晨三点被迫停机。那一刻，我才真切体会到，敏感信息泄漏不只是技术失误，更是团队信任的裂缝。

常见泄漏场景

别以为只有大公司才会遇到，普通的创业团队同样容易踩坑。最常见的几类：

• 直接把 .env、config.yml 推到远端仓库。
• 在代码注释里硬写了 API Token。
• 使用了第三方库的示例配置，里面自带了测试凭证。
• CI/CD 脚本里明文写入数据库密码。
• 误把调试日志文件提交，日志里记录了用户的敏感信息。

实战技巧

我把这些教训浓缩成三招，随手就能在项目里布下防线。第一招，把敏感文件列入 .gitignore 并在本地强制加密；第二招，在提交前跑一遍 Gitleaks 或类似的扫描工具，把潜在泄漏拦下来；第三招，把密钥管理交给 Vault、AWS Secrets Manager 之类的专门服务，代码里只保存引用。

# .gitignore 示例
.env
config/*.yml
secrets/
# 防止误提交日志
*.log

我把这段 .gitignore 放进每个新项目的模板里，配合 pre-commit 钩子，自动执行 gitleaks detect。只要有人忘记把文件加到 ignore，提交就会被拦截，团队成员还能收到一条温柔的提醒：“别忘了把密码藏好呀~”。

团队文化的力量

技术手段固然重要，但真正让泄漏止步于萌芽，靠的还是大家的安全意识。我们在每周例会上抽个两分钟，分享最近的“泄漏案例”，哪怕是别人的失误，也能让每个人记住：代码是公开的，凭证是私密的。我记得有一次，团队里新人把测试用的 stripe_test_key 当成正式密钥提交，结果被我们笑称“送礼物”。那笑声背后，是一次全员的安全警醒。

“代码是团队的名片，凭证是个人的隐私。”——我在内部培训时常挂在黑板上的一句话。

所以，别等到泄漏真的炸开锅才慌张。把这些小技巧埋进日常工作流里，让代码库保持干净，就像把厨房的刀子收进抽屉——看不见，却安全。