Security
如何共享或加密敏感的 git repos
我的組織正在使用 Openshift 執行多個應用程序。到目前為止,我們的策略是始終將敏感值(數據庫密碼、API 密鑰等)儲存在環境變數中,而不是作為程式碼庫的一部分。但是,每個具有 Dev、QA 和 Prod 實例的多個項目會導致需要管理大量環境變數。
為了幫助解決這個問題,我為我們編寫了一些工具,以便能夠跟踪 YAML 文件中的變數,然後以聲明方式將它們應用於 Openshift 部署配置。到目前為止,這些 YAML 文件位於我工作站上的本地 git 儲存庫中。但是,這具有明顯的缺點,即使其對開發團隊中的其他人無法使用。然而,像我們所有其他 git repos 一樣處理它並將其推送到 Gitlab 或 Github 似乎存在不可接受的風險。
也許我們可以編寫 git 鉤子在送出之前自動 GPG 加密文件並在拉取之後解密?在團隊之間儲存和共享這樣的敏感儲存庫的最佳實踐方式是什麼?
我們將transcrypt用於此類事情,並且發現它非常有效。
另一種選擇是使用適當的秘密儲存系統,例如 HashiCorp 的Vault。