Использование секретных ключей API на travis-ci

Question

Использование секретных ключей API на travis-ci

86

Я хотел бы использовать travis-ci для одного из проекты.

Проект представляет собой оболочку API, поэтому многие из тестов полагаются на использование секретных ключей API. Чтобы проверить локально, я просто храню их как переменные среды. Какой безопасный способ использовать эти ключи на Travis?

user94154 18 фев. 2012, в 03:19

Источник

Теги:

api-key

api

continuous-integration

travis-ci

4 ответа

3

согласно this в документации travis ci, он сказал, что:

Если у вас установлены клиенты командной строки Heroku и Travis CI, вы можете получить свой ключ, зашифровать его и добавить в свой .travis.yml, выполнив следующую команду в каталоге проекта:

travis encrypt $(heroku auth:token) --add deploy.api_key

обратитесь к следующему руководству по установке клиента heroku в соответствии с вашей ОС

Espoir Murhabazi 25 сен. 2017, в 12:12

0

Я просто хочу проверить: ключ, который он добавляет к вашему файлу, безопасен для загрузки в систему контроля версий, верно?
vapurrmaid 03 март 2018, в 23:46

2

Вы также можете определить секретные переменные в настройках репозитория:

Переменные, определенные в настройках репозитория, одинаковы для всех сборников, а при перезагрузке старой сборки используются последние значения. Эти переменные автоматически не доступны для forks.

Определите переменные в настройках репозитория, которые:

отличаются для каждого репозитория.

содержат конфиденциальные данные, такие как сторонние учетные данные.
Чтобы определить переменные в настройках репозитория, убедитесь, что вы вошли в систему, перейдите к соответствующему репозиторию, выберите "Настройки" в меню cog и нажмите "Добавить новую переменную" в разделе "Переменные среды".

pomber 06 апр. 2017, в 19:09

1

Не понял, как создавать секретные переменные. При поиске, результаты объясняют, как шифровать.
XedinUnknown 12 авг. 2017, в 16:44
0

@XedinUnknown Это можно использовать для секретных переменных. По ссылке: «По умолчанию значение этих новых переменных среды скрыто из строки экспорта в журналах. Это соответствует поведению зашифрованных переменных в вашем .travis.yml. Переменные хранятся в наших системах в зашифрованном виде, и расшифровывать при создании сценария сборки. "
bmaupin 25 янв. 2018, в 18:28

0

Используйте другой набор ключей API и делайте это так же. Ваш блок travis будет настроен для вашего запуска сборки, а затем полностью снесен после завершения сборки. У вас есть root-доступ к вашему ящику во время сборки, поэтому вы можете делать с ним все, что хотите.

markus 18 фев. 2012, в 11:48

4

Что вы подразумеваете под "сделать так же"? Мне не очень нравится идея хранить ключи API в самом репозитории (то есть в файле .travis.yml), но, похоже, нет другого способа настройки переменных среды на travis.
BM5k 11 июль 2012, в 05:15
0

Переменная env будет зашифрована с помощью открытого ключа, поэтому только владелец секретного ключа может расшифровать его. Вы не должны использовать важный токен. В моем случае я использовал тот, который Travis уже имел для GitHub. Это сработало довольно хорошо, и изнутри github я могу отозвать этот токен всякий раз, когда чувствую, что Трэвис рискует. Наличие зашифрованного токена в моем репо не заставляет меня плохо спать. github.com/ecki/GCViewer/blob/topic-ciupload/.travis.yml
eckes 19 фев. 2013, в 01:17

Ещё вопросы

Я просто хочу проверить: ключ, который он добавляет к вашему файлу, безопасен для загрузки в систему контроля версий, верно?
Не понял, как создавать секретные переменные. При поиске, результаты объясняют, как шифровать.
@XedinUnknown Это можно использовать для секретных переменных. По ссылке: «По умолчанию значение этих новых переменных среды скрыто из строки экспорта в журналах. Это соответствует поведению зашифрованных переменных в вашем .travis.yml. Переменные хранятся в наших системах в зашифрованном виде, и расшифровывать при создании сценария сборки. "
Что вы подразумеваете под "сделать так же"? Мне не очень нравится идея хранить ключи API в самом репозитории (то есть в файле .travis.yml), но, похоже, нет другого способа настройки переменных среды на travis.
Переменная env будет зашифрована с помощью открытого ключа, поэтому только владелец секретного ключа может расшифровать его. Вы не должны использовать важный токен. В моем случае я использовал тот, который Travis уже имел для GitHub. Это сработало довольно хорошо, и изнутри github я могу отозвать этот токен всякий раз, когда чувствую, что Трэвис рискует. Наличие зашифрованного токена в моем репо не заставляет меня плохо спать. github.com/ecki/GCViewer/blob/topic-ciupload/.travis.yml

Odi · Accepted Answer · 2012-10-08T09-35-00.000Z

88

Лучший ответ

Travis имеет функцию шифрования переменных среды ( "Шифрование переменных окружения" ). Это можно использовать для защиты ваших секретных ключей API. Я успешно использовал это для своего ключа API Heroku.

Все, что вам нужно сделать, это установить драгоценный камень travis, зашифровать нужную строку и добавить зашифрованную строку в .travis.yml. Шифрование действует только для одного репозитория. Команда travis получает ваш открытый ключ для вашего репо и может затем расшифровать строку во время сборки.

gem install --user travis
travis encrypt MY_SECRET_ENV=super_secret -r my_username/my_repo

Это дает вам следующий результат:

Please add the following to your .travis.yml file:

  secure: "OrEeqU0z6GJdC6Sx/XI7AMiQ8NM9GwPpZkVDq6cBHcD6OlSppkSwm6JvopTR\newLDTdtbk/dxKurUzwTeRbplIEe9DiyVDCzEiJGfgfq7woh+GRo+q6+UIWLE\n3nowpI9AzXt7iBhoKhV9lJ1MROrnn4DnlKxAEUlHTDi4Wk8Ei/g="

Odi 08 окт. 2012, в 09:35

11

Не забудьте документировать, какие переменные вы используете и почему, потому что после их шифрования их может восстановить только тот, у кого есть оригинальные ключи.
jerseyboy 20 июль 2013, в 15:06
1

Похоже, что более новые версии драгоценного камня Travis предпочитают располагать свои аргументы в обратном порядке: travis encrypt [args..] [options] , т.е. вы захотите сделать travis encrypt MY_SECRET_ENV=super_secret -r my_username/my_repo . Если сначала указать параметры, а данные зашифровать последними, появится предупреждение.
Jordan Running 30 май 2014, в 21:50
0

@ Иордания спасибо за обновление, я обновил свой ответ соответственно.
Odi 02 июнь 2014, в 12:36
3

С опцией --add env.global для команды travis она автоматически изменит ваш .travis.yml.
Thomas 30 сен. 2015, в 10:59
0

Что если бы я использовал config.py для хранения всех моих ключей API и использовал ConfigParser () для их анализа? Означает ли это, что я должен изменить свой код для поиска этих уникальных значений?
lordlabakdas 23 фев. 2017, в 19:08
0

@ lordlabakdas Я не знаю, что вы имеете в виду под «уникальными значениями», но если бы вы использовали config.py для хранения всех ваших ключей API, то этот файл был бы в вашем хранилище, чтобы Travis мог получить к нему доступ. И вообще плохая идея хранить конфиденциальную информацию, такую как пароли или ключи API, в хранилище. Вот почему существует этот механизм шифрования переменных среды.
Odi 09 март 2017, в 21:56
0

как я могу использовать эти зашифрованные переменные
mosaad 29 июнь 2017, в 20:52
0

@mosaad вы можете использовать эти значения как обычные переменные окружения (т.е. обращаться к ним в вашем коде), Travis расшифровывает их в начале каждой сборки.
Odi 01 июль 2017, в 02:53
0

Любой, кто может вызвать вашу сборку, может получить доступ к этим ключам в расшифрованном виде. Например, вы можете использовать функцию «отладочная сборка», чтобы подключиться к сборочной машине по ssh и просто отобразить «безопасную» переменную среды.
carlin.scott 05 апр. 2018, в 23:49
0

@ carlin.scott да, но это не относится к запросам на получение от вилок . И если кто-то имеет доступ для записи в хранилище, вы должны доверять ему эту информацию. Но, безусловно, хороший момент!
Odi 07 апр. 2018, в 06:26
0

@Odi Я думаю, что это безопасно и для публичных репозиториев git (с зашифрованными ключами). Это правда?
Ram Idavalapati 20 авг. 2018, в 05:10
1

@RamIdavalapati: поскольку секреты зашифрованы, это считается безопасным, да.
Odi 09 сен. 2018, в 13:18

Показать ещё 10 комментариев