目錄

簡介

一、入門搜索技巧

1. 基本關鍵詞搜索

2. 文件類型限定搜索

3. 用戶/組織定向搜索

二、精準定位技巧

1. 組合搜索條件

2. 排除干擾結果

3. 路徑限定搜索

三、防御建議

四、法律與道德提醒

簡介

GitHub作為全球最大的代碼托管平臺，存儲著數十億行公開代碼，其中可能包含大量意外泄露的敏感信息。本文將系統介紹從基礎到進階的GitHub信息收集技術，所有搜索語法均經過驗證，確保能夠返回實際結果。

一、入門搜索技巧

1. 基本關鍵詞搜索

這些簡單搜索往往能發現大量泄露憑證：

"password" 
"api_key"
"secret_key"
"credentials"
"database_password"

2. 文件類型限定搜索

filename:.env "DB_PASSWORD"  # 環境文件中的數據庫密碼
filename:config.json "api_key"  # JSON配置文件中的API密鑰
filename:.properties "jdbc.url"  # Java屬性文件中的數據庫連接

3. 用戶/組織定向搜索

user:facebook "internal"  # 搜索特定用戶的代碼
org:google "test"  # 搜索特定組織的測試代碼

二、精準定位技巧

1. 組合搜索條件

"aws_access_key_id" AND "aws_secret_access_key" filename:.env
"slack_token" AND filename:.json

2. 排除干擾結果

"password" NOT "example" NOT "test" NOT "dummy" pushed:>2023-01-01

3. 路徑限定搜索

path:src/main/resources "application.yml" "password"
path:.github/workflows "secret"  # GitHub Actions中的密鑰

三、防御建議

1. 預提交檢查：使用git hooks或CI工具在代碼提交前掃描敏感信息

2. 密鑰管理：使用Vault、AWS Secrets Manager等專業密鑰管理工具

3. 監控機制：定期掃描現有倉庫中的敏感信息

4. 權限控制：限制敏感倉庫的訪問權限

5. 員工培訓：提高開發人員的安全意識

四、法律與道德提醒

1. 僅搜索公開可用信息

2. 不要嘗試訪問私有倉庫

3. 發現漏洞后遵循負責任的披露流程

4. 遵守GitHub服務條款和當地法律法規