私のオープンソースアプリケーションでは、AWSのパラメータストア機能を使用して、アプリケーションの秘密(データベースパスワードなど)の安全なコピーを保持しています。私のアプリがEC2にデプロイされると、スクリプトはこれらの秘密を取得してコードに利用できるようにし、この同じスクリプトをローカルで実行します。オープンソースリポジトリのTravis CIで安全な資格情報を取得することは安全ですか?
私のテストの中には、データベースアクセスが必要なものがあります。そのため、Travisビルドスクリプトにアクセスする必要があります。
私の(public)Travisビルドでそのスクリプトを実行するのは安全ですか?私が言うことができる限り、Travisはビルドアーチファクトをどこにも公開しません(私の秘密を持っていないGitHubのものを超えて)。 .travis.yml
ファイルの設定項目を暗号化できますが、理想的にはこのデータが存在する場所が1つしかない場合は、複数の場所で設定キーを更新せずに回転できます。
これを行うには安全な方法がありますか?
偉大な点は、物事のPR側を完全に忘れてしまった。安全な環境変数で遊んでいきます。 –