我对 Amazon s3 不太了解,但我认为名为 secre_access_key 的东西可能应该是一个 secret 。我正在 Github 上查看某人的开源项目的 .travis.yml,它已被公开。这是作者忽略的事情还是这根本不重要,因为其他用户无法用它做任何事情?
最佳答案
Travis 提供了 mechanism用于将加密数据存储在 .travis.yml 中,只有 travis 才能解密。如果这就是文件中的内容,那么我就不用担心(我仍然只会针对锁定的 IAM 凭据集执行此操作)。
假设这不是文件中的内容,则 Aws key 绝对应该是 secret 的。在最坏的情况下(凭证用于 root aws 用户),它可以允许完全控制 aws 帐户(ec2、rds 等 - 不仅仅是 s3)
它也可能更加良性 - 例如,如果它们是只能从特定 s3 存储桶读取某些文件的有限权限用户的凭据。我仍然不建议将任何类型的任何凭证 checkin 公共(public)存储库。
关于security - 在 Github 上的开源项目上暴露 travis.yml 文件中的 s3 secret 访问 key 是否存在安全风险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34570106/