我正在为我的一些公共github repos使用travis。对于部署步骤(例如在github中创建发布(,我需要放入OAuth令牌(由travis加密(
这个加密代币在公共回购源代码中一起提交是否安全?由于这是公共回购,我想任何人都可以看到源代码并获得我的加密代币。虽然他们无法解密,但他们可以使用相同的令牌在我的github repo中创建发布?
但是,如果不致力于源代码,那么管理它的最佳方式是什么?
是。在.travis.yml中输出加密的环境变量是安全的。加密/解密密钥由Travis在每次回购的基础上生成,因此当其他人分叉你的回购时,或者即使你重命名它,加密的变量也会无效,你必须再次加密它。
根据Travis CI的说法,除了Travis自动化过程之外,没有人可以解密该值。
唯一可能的泄漏是当您的合作者之一发疯并决定通过修改构建脚本来揭示它时。但既然你有一个信任体系,这就不会成为一个问题。
您永远不应该在公共/私有回购中存储机密。您可以将信息存储在环境变量中。例如,您可以将.env文件添加到.gitignore,并可以在那里或直接在环境中存储变量。