我有一些需要将秘密存储到文件中的操作。此秘密稍后由另一个作业使用,如:
env:
FIREBASE_DISTRIBUTION_KEY: ${{ secrets.GCP_SA_FIREBASE_DISTRIBUTION_PROD_KEY }}
run: |
echo $FIREBASE_DISTRIBUTION_KEY > key.json
export GOOGLE_APPLICATION_CREDENTIALS=key.json
从安全的角度来看,我应该在工作流结束时删除key.json吗?如:
- name: Remove credentials
if: always()
run: |
rm key.json
我正在考虑一个场景,其中GitHub动作容器被破坏,有人可以访问文件。或者不相信GitHub,他们会完全删除GitHub的Action容器。
这是不必要的。
首先,GitHub Actions运行器不是容器,它们是虚拟机。没有容器逃逸的机会,也没有"清理"的概念;容器。
虚拟机被完全清除。运行作业的虚拟机及其磁盘映像都不会被重用。