トークンディスプレイでのGIT資格マネージャーのセキュリティを理解する

資格情報を表示しているにもかかわらず、「Git資格マネージャー」がセキュリティを保証する方法を発見し、そのアーキテクチャとベストプラクティスについて学びます。 ---このビデオは、質問に基づいていますhttps://stackoverflow.com/q/66790341/ユーザー「Asif Kamran Malick」（https://stackoverflow.com/u/2915738/）と答えの回答https://stackoverflow.com/6790620/が提供するhttps://stackoverflow.com/u/8705432/）「Stack Overflow」Webサイト。これらの優れたユーザーとstackexchangeコミュニティの貢献に感謝します。オリジナルのコンテンツや、代替ソリューション、トピック、コメント、リビジョン履歴に関する最新の更新/開発などの詳細については、これらのリンクにアクセスしてください。たとえば、質問の元のタイトルは次のとおりです。Git資格マネージャーはトークンも表示されますか？ by-sa 4.0 '（https://creativecommons.org/licenses/by-sa/4.0/）ライセンス、および元の回答投稿は、' cc by-sa 4.0 '（https://creativecommons.org/licenses/by-sa/4.0/）ライセンスの下でライセンスされています。何かがあなたに見える場合は、vlogize [at] gmail [dot] comでお気軽に私を書いてください。 ---トークンディスプレイでのGIT資格マネージャーのセキュリティを理解することは、最近GITとその資格管理マネージャーの使用を開始した場合、セキュリティの抜け穴に困惑していることに気付くかもしれません。 GIT資格情報の塗りつぶしを実行すると、保存された資格情報またはトークンを明らかにすることができるシナリオに遭遇した可能性があります。これは重要な疑問を提起します。TOKENを表示できる場合、GIT資格マネージャーはどのように保護されますか？この懸念に飛び込み、コンソールに表示されている場合でも、Gitが資格情報を安全に管理する方法を明らかにしましょう。問題：GITで資格情報を明らかにするコマンドGit資格情報を使用するとき、資格情報をプレーンテキストに表示することの意味を心配することは自然です。これにより、他の誰かがコンソールにアクセスできる場合、不正アクセスにつながる可能性があります。言うまでもなく、ユーザーがクレデンシャルストレージが本当にGITでどれほど安全であるかを理解することが重要です。これを説明するための問題を再現する手順、使用中の資格ヘルパー、特にマネージャーコアでどのように確認できるか、および問題を再現する方法を見てみましょう。 recuretentive.helper = manager-coreが表示されている場合は、Windows資格マネージャーに正しいヘルパーを使用しています。 GITバージョンを確認してください。マネージャーコアが表示されるには、2.29以降が必要です。資格情報を入力します。コンソールで次のコマンドを実行します。認証コンテキスト：このコマンドは、認証に使用した資格情報、たとえばGitHub Personal Access Tokenを表示します。解決策：セキュリティメカニズムを理解して、このディスプレイが資格情報のセキュリティを妥協しない理由について説明しましょう。理解する重要な側面は次のとおりです。1。暗号化されたストレージセキュア構成：正しく構成されている場合、GIT資格マネージャーは資格情報を暗号化された形式で保存します。これは、誰かが基礎となる資格情報ストレージにアクセスする場合でも、適切なキーなしで資格情報を読み取ることができないことを意味します。メカニズムのロック解除：資格情報は、アクティブなセッション中にログインしたときにのみロック解除され、不正なユーザーがログアウトしたらそれらを取得できないようにします。 2。システム固有のストレージソリューションWindows資格情報マネージャー：Windowsユーザーの場合、GIT資格マネージャーコアは、Windowsが提供する内蔵シークレットストレージを使用します。このストレージは強力な暗号化を提供し、ログインセッションのみへのアクセスを制限します。 Linuxキーチェーン：Linux側では、Libsecretのようなものが利用される場合があります。ここでは、保存された資格情報がシステムキーチェーンに保持され、ログイン中にキーチェーンのロックを解除した後にのみ暗号化され、アクセスできます。 3. APIおよびアクセス制御GIT資格情報の塗りつぶしを介して資格情報を抽出できますが、これは単に資格情報マネージャーが使用する既存のAPIへのインターフェイスです。このコマンドを介して資格情報を表示する機能は、オペレーティングシステムで利用可能な他の手段（LinuxのSecret-Tool）よりもさらに公開することはありません。結論：GITの資格情報を管理するためのベストプラクティスGIT資格マネージャーが資格情報を保護する方法を理解することで、露出を恐れることなくGITを自信を持って使用するのに役立ちます。いくつかのベストプラクティスは次のとおりです。システムを更新してください。最適なセキュリティと機能のために、常に最新バージョンのGitを使用してください。強力でユニークなトークンを使用してください。さまざまなアプリケーションやサービスに一意のトークンを定期的に更新および使用します。注意してください：あなたの開発環境に誰がアクセスできるかについて注意してください、そしてあなたのコンソールiを確実にしてください