Wie ersetze ich eine Zeichenfolge im gesamten Git-Verlauf?

Ich habe eines meiner Passwörter in wahrscheinlich wenigen Dateien in meinem Git-Repo festgeschrieben. Gibt es eine Möglichkeit, dieses Passwort automatisch durch eine andere Zeichenfolge im gesamten Verlauf zu ersetzen, damit es keine Spur davon gibt? Idealerweise könnte ich ein einfaches Bash-Skript schreiben, das Zeichenfolgen zum Suchen und Ersetzen empfängt und die ganze Arbeit selbst erledigt, so etwas wie:

./replaceStringInWholeGitHistory.sh "my_password" "xxxxxxxx"

Bearbeiten: Diese Frage ist kein Duplikat dieser Frage, da ich nach dem Ersetzen von Zeichenfolgen frage, ohne ganze Dateien zu entfernen.

Suchen Sie zuerst alle Dateien, die das Passwort enthalten könnten. Angenommen, das Passwort ist abc123 und der Zweig ist master. Möglicherweise müssen Sie diese Dateien ausschließen abc123 nur als normale Saite.

git log -S "abc123" master --name-only --pretty=format: | sort -u

Ersetzen Sie dann “abc123” durch “******”. Angenommen, eine der Dateien ist foo/bar.txt.

git filter-branch --tree-filter "if [ -f foo/bar.txt ];then sed -i s/abc123/******/g foo/bar.txt;fi"

Zum Schluss Druck erzwingen master zum Remote-Repository, falls vorhanden.

git push origin -f master:master

Ich habe einen einfachen Test gemacht und es hat funktioniert, aber ich bin mir nicht sicher, ob es in Ihrem Fall in Ordnung ist. Sie müssen sich mit allen Dateien aus allen Zweigen befassen. Was die Tags betrifft, müssen Sie möglicherweise alle alten löschen und neue erstellen.

git filter-repo --replace-text

Git2.25 man git-filter-branch empfiehlt bereits klar die Verwendung git filter-repo anstatt git filter-treeAuf geht’s.

Installieren https://superuser.com/questions/1563034/how-do-you-install-git-filter-repo/1589985#1589985

python3 -m pip install --user git-filter-repo

und dann verwenden:

echo 'my_password==>xxxxxxxx' > replace.txt
git filter-repo --replace-text replace.txt

oder gleichwertig mit Bash-Magie:

git filter-repo --replace-text <(echo 'my_password==>xxxxxxxx')

Getestet mit diesem einfachen Test-Repository: https://github.com/cirosantilli/test-git-filter-repository und Ersatzsaiten:

d1==>asdf
d2==>qwer

Das obige wirkt standardmäßig auf alle Zweige (so invasiv!!!), um nur auf ausgewählte Zweige zu wirken, verwenden Sie: git filter-repo: kann es auf einem bestimmten Zweig verwendet werden? z.B:

--refs HEAD
--refs refs/heads/master

Die Option --replace-text Option ist dokumentiert unter: https://github.com/newren/git-filter-repo/blob/7b3e714b94a6e5b9f478cb981c7f560ef3f36506/Documentation/git-filter-repo.txt#L155

–replace-text ::

Eine Datei mit Ausdrücken, die, wenn sie gefunden werden, ersetzt werden. Standardmäßig wird jeder Ausdruck als wörtlicher Text behandelt, aber
regex: und glob: Präfixe werden unterstützt. Sie können die Zeile mit beenden ==> und etwas Ersatztext, um eine andere Ersatzoption als die Standardeinstellung auszuwählen ***REMOVED***.

Sobald Sie ein Passwort öffentlich weitergegeben haben, ist es natürlich immer zu spät und Sie müssen das Passwort ändern, also würde ich mich in diesem Fall nicht einmal um das Ersetzen kümmern: Entfernen Sie vertrauliche Dateien und ihre Commits aus dem Git-Verlauf

Verwandte: Wie ersetzt man Text aus Dateien im Git-Verlauf?

Getestet auf git-filter-repo ac039ecc095d.

Am Anfang möchte ich ElpieKay danken, die Kernfunktionen meiner Lösungen gepostet hat, die ich nur automatisiert habe.

Endlich habe ich das Drehbuch, das ich haben wollte. Ich habe es in Teile aufgeteilt, die voneinander abhängen und als unabhängige Skripte dienen können. Es sieht aus wie das:

censorStringsInWholeGitHistory.sh:

#!/bin/bash
#arguments are strings to censore

for string in "$@"
do
  echo ""
  echo "================ Censoring string "$string": ================"
  ~/replaceStringInWholeGitHistory.sh "$string" "********"
done

Verwendung:

~/censorStringsInWholeGitHistory.sh "my_password1" "my_password2" "some_f_word"

replaceStringInWholeGitHistory.sh:

#!/bin/bash
# $1 - string to find
# $2 - string to replace with

for branch in $(git branch | cut -c 3-); do
  echo ""
  echo ">>> Replacing strings in branch $branch:"
  echo ""
  ~/replaceStringInBranch.sh "$branch" "$1" "$2"
done

Verwendung:

~/replaceStringInWholeGitHistory.sh "my_password" "********"

replaceStringInBranch.sh:

#!/bin/bash
# $1 - branch
# $2 - string to find
# $3 - string to replace with

git checkout $1
for file in $(~/findFilesContainingStringInBranch.sh "$2"); do
  echo "          Filtering file $file:"
  ~/changeStringsInFileInCurrentBranch.sh "$file" "$2" "$3"
done

Verwendung:

~/replaceStringInBranch.sh master "my_password" "********"

findFilesContainingStringInBranch.sh:

#!/bin/bash

# $1 - string to find
# $2 - branch name or nothing (current branch in that case)

git log -S "$1" $2 --name-only --pretty=format: -- | sort -u

Verwendung:

~/findFilesContainingStringInBranch.sh "my_password" master

changeStringsInFileInCurrentBranch.sh:

#!/bin/bash

# $1 - file name
# $2 - string to find
# $3 - string to replace

git filter-branch -f --tree-filter "if [ -f $1 ];then sed -i s/$2/$3/g $1;fi"

Verwendung:

~/changeStringsInFileInCurrentBranch.sh "abc.txt" "my_password" "********"

Ich habe all diese Skripte in meinem Home-Ordner, die für das ordnungsgemäße Arbeiten in dieser Version erforderlich sind. Ich bin mir nicht sicher, ob das die beste Option ist, aber im Moment kann ich keine bessere finden. Natürlich muss jedes Skript ausführbar sein, was wir erreichen können chmod +x ~/myscript.sh.

Wahrscheinlich ist mein Skript nicht optimal, für große Repos wird es sehr lange abarbeiten, aber es funktioniert 🙂

Und ganz am Ende können wir unser zensiertes Repo auf jede Fernbedienung übertragen mit:

git push <remote> -f --all

Bearbeiten: wichtiger Hinweis von ElpieKay:

Vergessen Sie nicht, gepushte Tags zu löschen und neu zu erstellen. Sie verweisen immer noch auf die alten Commits, die möglicherweise Ihr Passwort enthalten.

Vielleicht werde ich mein Skript in Zukunft verbessern, um dies automatisch zu tun.