Git のセキュリティ対策４選

Git のセキュリティ対策を４つ紹介します。

@takasqr アプリケーション開発が大好きなエンジニア。Vue、Swift、Electrom などでアプリを作って公開している。AWS や Firebase などのクラウドサービスも好き。

Git の最新バージョンを使う

Git でも他のソフトウェアと同じく、脆弱性が見つかることがあります。最新バージョンの Git を使うようにしましょう。

Git には ID やパスワードなどの機密情報を含めないで管理しましょう。

環境変数や.gitignoreを利用することで機密情報をコミットすることなく管理することができます。

.gitignoreの使い方はこのブログでも紹介しています。

pre-commit フックは、コミットメッセージが入力される前に実行されます。これは、いまからコミットされるスナップショットを検査したり、何かし忘れた事がないか確認したり、テストが実行できるか確認したり、何かしらコードを検査する目的で使用されます。

Git の公式サイトにも書いてある通り、pre-commit を使えば、追加しようとしてるコードにセキュリティの問題がないかチェックすることができます。

Git ではコミットやタグに署名することができます。そうすることで、誰が書いたコードなのか、改竄されてないかを確認することができます。GPG（GNU Privacy Guard）を使用して、デジタル署名を生成し、それをコミットに添付します。