常规修改#

如何泄露的影响还算不大，可以使用 Git 内置的交互式变基 (interactive rebase) 来逐个更改提交内容。 例如上图，需要变基到 2e8121e 才能修改之后的 d9df113

1
git rebase -i 2e8121e

1. 我们需要修改 d9df113，因此将第一行的”pick”改成”edit”并保存，开始交互式变基；
2. 通过编辑器删除泄露的密钥；
3. 执行 git add . 将更改提交到暂存区，执行 git status 手动二次确认；
4. 确定修补完成后，执行 git commit --amend，在这里可以修改 commit 内容，也可以不修改，但必须手动保存一次文件；
5. 这一轮修复就算成功了，执行 git rebase --continue，git将开始自动合并，直到出现冲突。

处理合并冲突#

遇到合并冲突时，使用 git status 查看，并打开冲突的文件：

1
❯ cat .env
2
<<<<<<< HEAD
3
=======
4
API_KEY=yAxfgL1GnYhk0UYXZdt2eADqnrNXezeK
5
TIME_ZONE=Asia/Shanghai
6
>>>>>>> 72fd120 (feat: 又实现了一个功能)

这些格式的意思是：

• 从 <<<<<<< HEAD 到 ======= 的部分：当前分支的内容（也就是修改后的）
• 从 ======= 到 >>>>>>> 72fd120 的部分：旧分支的内容（修改前）

此处需要删除API_KEY，因此将文件修改成：

1
TIME_ZONE=Asia/Shanghai

然后，git add .，git commit --amend，git rebase --continue。如此循环，直到变基全部完成。

最终效果#

再次运行 gitleaks git . -v，就可以看到一片绿啦~~

然后 force push 就可以强制修改远端内容：

1
git push --force --all
2
git push --force --tags

将某个文件从所有历史中移除#

先筛选并执行移除：

1
git filter-branch --force --index-filter \
2
'git rm --cached --ignore-unmatch <文件路径>' \
3
--prune-empty --tag-name-filter cat -- --all

再清理备份引用，执行垃圾回收：

1
rm -rf .git/refs/original/
2
git reflog expire --expire=now --all
3
git gc --prune=now --aggressive

将文件中的某一部分从所有历史中移除#

在这里使用sed作为示例，可以让AI编写适合你的替换命令：

1
git filter-branch --force --tree-filter '
2
grep -rl "LEAKED_KEY_PART" . | while read -r f; do
3
  sed -i "s/LEAKED_KEY_PART/REDACTED/g" "$f"
4
done
5
' --tag-name-filter cat -- --all

提示

这会在每个提交 checkout 一次，仓库大时将非常慢。 替换模式尽量写具体，避免误伤正常内容。

最后同样是 force push： 然后 force push 就可以强制修改远端内容：

1
git push --force --all
2
git push --force --tags