Cómo asegurarse de que los tokens y passwords de la API no estén en github

Estoy considerando publicar un proyecto en github. Puede contener datos confidenciales como tokens API, que naturalmente no quiero que sean públicos. Me gustaría utilizar el código localmente con tokens, passwords, etc. correctos, pero solo los marcadores de position deberían ir al repository.

Podría tratar de recordar eliminar estos datos cada vez antes de presionar (¿de forma manual, automáticamente?), Pero las copys locales y github son obviamente diferentes, y esto parece ser propenso a errores de todos modos.

¿Cuál es la buena práctica para esta situación?

EDITAR : Para cualquiera que mire esto. Acabo de ver esta excelente respuesta, vale la pena leerla:
¿Cómo puedo save mis keys secretas y mi contraseña de forma segura en mi sistema de control de versiones?

— Continuar con la respuesta anterior —

Gran pregunta Vea este post para un buen comienzo: la exposition accidental a la key API es un problema importante

Por lo general, trato de mantener todos mis tokens de api en un file externo.

Excluyo ese file en .gitignore:

################## #Ignore API token# ################## token.txt 

Luego leo el token del file (trabajando en python):

 #import token from token.txt file in same directory token_file = os.path.join(path, "token.txt") with open(token_file, 'rb') as f: token = f.read().replace('\n', '') 

Como nunca presiono el file token, nunca queda expuesto.

Intereting Posts