RubyonRails中应该从公共源代码管理中删除什么

我最近也在研究这个问题；我想在将开源代码推送到Github的整个过程中隐藏敏感信息，然后自动推送到Travis CI进行测试，然后从Travis自动部署到Heroku。以下是我迄今为止在各种StackOverflow问答中发现的所有细节；As、博客等，希望能为您提供参考，即使只是用于Rails应用程序中的配置（省略您看到的任何{{ ... }}）

免责声明：我在这里绝非专家，所以请记住，可能有比我尝试的更好的方法。我希望能够在这个问答中学习一些新技巧；一根线

---

Rails应用程序内部

我目前使用Figaro-gem来隐藏ENV环境变量中的敏感信息。在我的（.gitignore d）config/application.yml中，我保留了以下信息：

# App keys
SECRET_TOKEN: # your rake secret generated token
development:
  DB_NAME: # your dev db name here
  DB_USER: # your dev db username here
  DB_PASSWORD: # your dev db password here
test:
  DB_NAME: # your test db name here
  DB_USER: # your test db username here
  DB_PASSWORD: # your test db password here
production:
  DB_NAME: # your prod db name here
  DB_USER: # your prod db username here
  DB_PASSWORD: # your prod db password here
# Third Party keys that you will reference in their relevant files
THIRD_PARTY_API_OR_LICENSE_KEY: # list of whatever api/license keys you use

（DB_NAME、DB_USER和DB_PASSWORD将根据应用程序运行的环境动态使用）。

上面文件的一个空版本（config/application.example.yml）被推送到Github，并提供了一些如何填充的说明。

推送到Github并引用这些变量的文件如下所示：

config/database.yml
（这里使用Postgresql，但您应该能够更改您使用的任何数据库的设置）

postgresql: &postgresql
  adapter: postgresql
  database: <%= ENV['DB_NAME'] %>
  username: <%= ENV['DB_USER'] %>
  password: <%= ENV['DB_PASSWORD'] %>
  min_messages: ERROR
defaults: &defaults
  pool: 5
  timeout: 5000
  host: localhost
  <<: *<%= ENV['DB'] || "postgresql" %>
development:
  <<: *defaults
test:
  <<: *defaults
production:
  <<: *defaults

config/ininitializers/secret_token.rb

if Rails.env.production? && ENV['SECRET_TOKEN'].blank?
  raise 'SECRET_TOKEN environment variable must be set!'
end
YourApp::Application.config.secret_token = 
  ENV['SECRET_TOKEN'] || {{WHATEVER_SECRET_TOKEN_RAILS_GENERATED_BY_DEFAULT}}

（另外，任何文件都会引用THIRD_PARTY_API_OR_LICENSE_KEY类型的密钥。）

Travis CI测试

使用travis gem创建加密的travis变量。如果您从Travis工作人员直接部署到Heroku，则需要Heroku API密钥和Heroku Git URL（有关详细信息，请参阅StackOverflow问答），否则，如果您仅使用它进行测试，则可以省略它们：

$ gem install travis
$ travis encrypt your_username/your_repo HEROKU_API_KEY={{YOUR_HEROKU_API_KEY}}
$ travis encrypt HEROKU_GIT_URL={{YOUR_HEROKU_GIT_URL}} # eg git@heroku.com:your_app.git
$ travis encrypt DB_NAME={{YOUR_DB_NAME_UNDER_TEST}} # eg your_app_test
$ travis encrypt DB_USER={{YOUR_DB_USER_UNDER_TEST}}
$ travis encrypt DB_PASSWORD={{YOUR_DB_PASSWORD_UNDER_TEST}}

（此外，加密测试期间可能需要的任何其他密钥，如果有的话…）

然后将它们添加到.travis.yml
（再次关注Postgresql，但您应该能够更改您使用的任何数据库的设置）

env:
  global:
    - secure: {{YOUR_ENCRYPTED_HEROKU_API_KEY}}
    - secure: {{YOUR_ENCRYPTED_HEROKU_GIT_URL}}
    - secure: {{YOUR_ENCRYPTED_DB_NAME}}
    - secure: {{YOUR_ENCRYPTED_DB_USER}}
    - secure: {{YOUR_ENCRYPTED_DB_PASSWORD}}
  matrix:
    - DB: postgresql
before_script:
  - psql -c "create database $DB_NAME;" -U $DB_USER
  - RAILS_ENV=test bundle exec rake db:migrate
script:
  - bundle exec rspec spec/
after_success:
  - gem install heroku
  - git remote add heroku $HEROKU_GIT_URL
  # ... see link above for the rest of the config content

多个变量标记为相同名称的secure即可；它们将在配置中显示为HEROKU_API_KEY=[secure] HEROKU_GIT_URL=[secure]等

部署到Heroku

使用Figaro的Heroku rake任务自动设置Heroku在生产中需要看到的环境变量：

$ rake figaro:heroku

或者，手动设置：

$ heroku config:set SECRET_TOKEN={{YOUR_SECRET_TOKEN}}
$ heroku config:set DB_NAME={{YOUR_DB_NAME_UNDER_PRODUCTION}} # eg your_app_production
$ heroku config:set DB_USER={{YOUR_DB_USER_UNDER_PRODUCTION}}
$ heroku config:set DB_PASSWORD={{YOUR_DB_PASSWORD_UNDER_PRODUCTION}}
$ heroku config:set THIRD_PARTY_API_OR_LICENSE_KEY={{YOUR_THIRD_PARTY_API_OR_LICENSE_KEY}}

然后，尝试部署。

---

这就是我现在的全部。目前还不确定我是应该隐藏更多的信息，还是隐藏得不够好，但这是一项正在进行的工作。

你会得到不同的意见。IMHO，最好的做法是包括这些文件，但省略其中的秘密内容。记录你正在做的事情，这样新加入你项目的开发人员就知道他们需要填写什么

Phusion有一篇很好的博客文章，介绍了如何处理Rails会话的秘密，以及您可以在包含或排除信息方面做出的权衡：

http://blog.phusion.nl/2013/01/04/securing-the-rails-session-secret/#.URYPXekTMak

我最喜欢的记录方式是使用"rake设置"任务。您可以让任务打印开发人员需要做的事情——换句话说，您不需要将其全部自动化（尽管如果您能够做到这一点，那就太好了）。

如果你想获得灵感，可以让你的文件从共享/目录中读取秘密设置，这也可以启用部署符号链接。这在Phusion博客中也有描述。这就是我构建需要经常部署的应用程序的方式。