我有一个在服务器上运行的服务,每当我使用 Github Webhooks 将新代码推送到存储库时,该服务都会自行更新并重新启动。它可以访问大量数据库,并且这些数据库的凭据被硬编码到配置文件中。我想加密配置文件并仅在服务启动时将其解密到内存中。
由于我启动了该服务,看起来加密 key 需要存在于 Web 服务器上,这违背了加密文件的初衷。
我可以使用 Github 的某些身份验证属性作为加密 key ,或者以其他方式将 key 传递到未保存到磁盘的服务器吗?应如何保护该文件的安全?
最佳答案
How should this file be secured?
不是 GitHub 或任何与 Git 相关的东西。
您需要:
- 外部服务(例如 hashicorp/vault )
- 或能够安全分发 secret 的平台(如 docker secret )
但 GitHub 本身仅托管存储库,它不管理 secret 。
一个GitHub webhook只是一个回调,这意味着必须有一个服务正在监听该回调。
关于security - 如何通过 Github Webhooks 安全地加密 secret ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42168516/