当前位置:首页>WordPress资讯>掩盖你的踪迹: 如何隐藏GitHub操作日志中的内容

掩盖你的踪迹: 如何隐藏GitHub操作日志中的内容

掩盖你的踪迹: 如何隐藏GitHub操作日志中的内容

Actions是GitHub内置的持续集成和持续交付(CI/CD)平台,使开发团队能够实现工作流程的,包括构建、测试和部署管道。

使用GitHub Actions的一个缺点是,你的日志是公开的,任何人都可以通过必要的权限访问它们。

为了防止敏感数据暴露在GitHub Actions的日志中,你应该使用加密的环境变量来安全存储敏感数据。这些加密的环境变量被称为GitHub Actions Secrets。

本文告诉你如何使用GitHub Actions Secrets来防止敏感信息出现在GitHub Actions日志中。

  1. 先决条件
  2. 如何保持GitHub操作日志的安全性
  3. 如何屏蔽日志
  4. 如何使用GitHub Actions Secrets
  5. 如何屏蔽

先决条件

要学习本教程:

  • 确保你有一个GitHub账户。
  • 拥有一个现有的GitHub仓库。对于本教程,你可以克隆这个演示仓库。
  • 按照这些说明克隆演示仓库。

如何保持GitHub操作日志的安全性

当你使用GitHub Actions构建工作流程时,任何访问你仓库的人都可以查看日志,所以它们不应该包括敏感信息。然而,你不能就这样删除你的令牌、密码和其他敏感信息–你需要它们来进行测试和让你的正常运行。

解决方案是用 ::add-mask:: 工作流命令来隐藏它们,该命令将星号(*)放在它所应用的敏感数据的位置上。

下面的部分向你展示了如何屏蔽日志。

如何屏蔽日志

首先,在你的中打开克隆的

在版本库的根部创建.github/workflows/目录,以存储你的工作流文件。然后,在.github/workflows目录中创建一个名为hide-secrets.yml的新文件,并在其中添加以下

name: Hide Sensitive Information
on: push
jobs:
print-secret-token:
runs-on: -latest
steps:
- name:  a secret
run: echo "your secret token is verySecretToken"

提交修改并推送到你的GitHub仓库。更新后的GitHub操作工作流程是激活的,每当你推送一个新的改动时,就会触发。

在GitHub上打开你的仓库,选择Actions来查看日志。你的工作流程应该显示如下:

掩盖你的踪迹: 如何隐藏GitHub操作日志中的内容

预览你的工作流程

检查工作流程的日志,你会发现打印在日志上的 verySecretToken 字符串。点击你的工作流程,然后点击任务名称(print-secret-token)来查看日志。它应该看起来像这样:

掩盖你的踪迹: 如何隐藏GitHub操作日志中的内容

检查你的GitHub动作日志

要隐藏它,使用 ::add-mask:: 命令,编辑hide-secrets.yml文件,并在 print-secret-token 工作中添加一个新步骤:

name: Hide Sensitive Information
on: push
jobs:
print-secret-token:
runs-on: ubuntu-latest
steps:
- name: Add Mask
run: echo "::add-mask::verySecretToken"
- name: echo a secret  
run: echo "your secret token is verySecretToken"

你应该在顶部添加 Add Mask 的步骤,因为掩码只在 ::add-mask:: 运行后适用。如果你把Secret的 verySecretToken 放在 Add Mask 步骤之前,它仍然会出现未被掩码。因此,为了确保该值被屏蔽,必须尽快使用 ::add-mask::

一旦你提交并发布你的修改到你的GitHub仓库,字符串 verySecretToken 将被星号(*)取代,无论它出现在你的日志中:

掩盖你的踪迹: 如何隐藏GitHub操作日志中的内容

制作普通文本

虽然这解决了屏蔽的问题,但却引入了一个新的问题。你的 verySecretToken 仍然在工作流文件中,所以任何能够访问源代码的人都可以看到它。

屏蔽纯文本的另一个缺点是,只屏蔽一个词的一部分会隐藏它的所有实例。例如,以下面的句子为例: “Programming is great, but my most productive days are those when I do not write a program”。如果你屏蔽了 “program” 这个词,它不仅会屏蔽句子末尾的这个词,还会屏蔽它出现的任何地方,比如 “programming” 中。

如果你试图屏蔽纯文本,你会得到这样的结果:

掩盖你的踪迹: 如何隐藏GitHub操作日志中的内容

屏蔽纯文本的问题

在GitHub动作日志中隐藏敏感数据的更好方法是使用GitHub Actions Secrets,如下节所示。

如何使用GitHub Actions Secrets

你可以使用GitHub Actions Secrets来存储任何你想在GitHub操作工作流程中使用的私人数据。Secret是在仓库或组织层面以键/值对的形式创建的。

仓库只能访问在仓库级别创建的Secret,而在组织级别创建的Secret则由组织内的所有仓库共享。

在存储库级别创建的Secret可供任何有合作者角色权限的人在操作中使用。你可以在任何时候改变你的Secret的值。然而,Secret不能被用于分支版本库的工作流。

以下准则适用于命名Secret:

  • Secret名称不能包含空格。
  • Secret名称不区分大小写。
  • Secret名称不能以数字开头。
  • Secret名称不能以前缀 GITHUB_ 开头。
  • Secret名称必须是唯一的 – 具有相同名称的秘密不能存在于同一级别。

你可以在GitHub操作的工作流程中使用这些Secret,只需在Secret名称前添加 secrets 作为YML变量,如下所示:

${{ secrets.MY_SECRET_TOKEN }}

你也可以掩盖Secret,以获得更多的安全性,如下所示。

如何屏蔽secret

首先,创建一个GitHub secret。在你的 GitHub 仓库中,点击设置标签,从左边的侧边栏中选择Secrets Actions,然后点击New repository secret来添加一个新的secret:

掩盖你的踪迹: 如何隐藏GitHub操作日志中的内容

创建一个新的版本库secret

给你的secret一个名字和一个secret值,然后点击Add secret

掩盖你的踪迹: 如何隐藏GitHub操作日志中的内容

添加一个新的GitHub Secret

现在你已经创建了你的secret,并给了它 verySecretToken 值,你可以在你的工作流文件中使用它。打开你的 hide-secrets.yml 文件,做如下修改:

name: Hide Sensitive Information
on: push
jobs:
print-secret-token:
runs-on: ubuntu-latest
steps:
- name: Add Mask
run: echo "::add-mask::${{ secrets.MY_SECRET_TOKEN }}"
- name: Echo a secret  
run: echo "your secret token is ${{ secrets.MY_SECRET_TOKEN }}"

这与之前的代码唯一的区别是,你用新创建的GitHub secret ” ${{secrets.MY_SECRET_TOKEN }} ” 替换了Secret令牌。

一旦你提交了代码并将修改推送到你的GitHub仓库,你的Secret就被屏蔽了:

掩盖你的踪迹: 如何隐藏GitHub操作日志中的内容

屏蔽的GitHub操作私钥

小结

你不能在你的GitHub操作日志中泄露任何敏感信息。纯文本屏蔽是隐藏数据的一种方式,但任何访问工作流文件的人都可以看到你试图隐藏的信息。

正如本教程所展示的,GitHub Actions Secret是一种更安全的方法,可以保护你的敏感数据,然后将其屏蔽。

原文地址:https://www.wbolt.com/github-actions-secret.html

WordPress资讯

16个最佳AI和ChatGPT内容检测器比较

2024-1-22 1:09:13

WordPress资讯

零售业聊天机器人的12大使用案例和实例

2024-1-22 1:09:15

个人中心
今日签到
有新私信 私信列表
搜索