Github Webhooksで秘密を安全に暗号化する方法は？

Question

Github Webhooksを使用して新しいコードをリポジトリにプッシュするたびに、自身を更新して再起動するサーバー上でサービスを実行しています。これはデータベースの束にアクセスでき、それらのデータベースの資格情報は設定ファイルにハードコードされています。私は設定ファイルを暗号化し、サービスが開始されるときにそれをメモリに解読するだけです。

私はサービスを開始しているので、暗号化キーがWebサーバー上に存在する必要があり、最初はファイルの暗号化のポイントを奪うように見えます。

暗号化キーとしてGithubの認証プロパティーを使用することも、ディスクに保存されていないサーバーにキーを渡すこともできますか？このファイルはどのように保護する必要がありますか？

Answer 1

このファイルはどのように保護する必要がありますか？

GitHubやその他Git関連のものではありません。

あなたはどちらかが必要です。

• 外部サービス（のようなhashicorp/vault）
• や安全（docker secretのような）秘密を配布することができplateform

しかし、GitHubに自身が唯一のレポをホストそれは秘密を管理しません。
GitHub webhookは単なるコールバックに過ぎません。つまり、そのコールバックを聞いているサービスがあります。