很多人在自己电脑上建本地代码仓库,比如用 Git 管理项目、笔记或者配置文件。时间一长,仓库里存了不少敏感内容:API 密钥、数据库配置、公司内部信息……这时候就会担心:本地仓库能不能加密?别被别人偷看或者误传到外网。
本地仓库本身不自动加密
像 Git 这类工具,默认不会对仓库里的文件做加密处理。你看到的代码,就是明文存在硬盘上的。只要能访问这台电脑,或者把硬盘拔走接到别的设备上,数据就能直接读取。所以,光靠 Git 自己,没法保护隐私。
但你可以手动给文件加密
虽然仓库不自带加密功能,但有办法让敏感内容变安全。比如,可以用 git-crypt 这种工具,在提交前自动加密指定文件。你在本地工作时,文件是正常打开的;一旦推送到远程或被人直接翻硬盘,看到的就是乱码。
安装 git-crypt 后,在项目里初始化并锁定某些文件类型:
git-crypt init
# 创建 .gitattributes 文件,指定要加密的格式
echo ".env filter=git-crypt diff=git-crypt" >> .gitattributes
echo "config/*.yaml filter=git-crypt" >> .gitattributes
git-crypt unlock这样,.env 和 config 目录下的 YAML 文件都会被加密保存在仓库中,只有拿到密钥的人才能解锁查看。
也可以整盘加密保护整个仓库
如果你嫌一个个项目设置太麻烦,更省心的办法是直接加密整个磁盘。Windows 上可以用 BitLocker,macOS 有 FileVault。开启后,系统启动前必须输密码,否则连硬盘都打不开。你的本地仓库自然也就安全了。
这种方案适合笔记本经常带出门的人。哪怕电脑丢了,别人拆下硬盘也读不出内容。
别把加密当万能药
加密能防外部窥探,但解决不了操作失误。比如你不小心把解密后的文件发到公共群、上传到 GitHub 公开仓库,那等于白忙一场。所以该设权限的设权限,该加 .gitignore 的别偷懒。
另外,加密工具本身也有风险。比如用了小众加密脚本,几年后项目迁移,可能连自己都打不开。选方案时优先考虑社区成熟、文档齐全的工具。
本地仓库能不能加密?能,但得自己动手。要么加密关键文件,要么锁住整块硬盘,没有中间路线可走。