我有一個回購是目前私人。我的Firebase部署令牌作爲Env Var存儲在CircleCI GUI中。該CircleCI 2.0文檔中明確指出CircleCI 2.0公共回購的私人環境下按鍵
不要添加鍵或祕密到公開CircleCI項目
而且,從我可以在FAQ中找到,一個CircleCI項目,如果相關的GitHub上公開回購是公開的。現在
,我打算開源GitHub上的項目,將它使的環境變量中CircleCI可見於任何人,因爲CircleCI項目將成爲市民?
如果的環境變量是公開可見的,什麼是一個被通知的方式,以保持從別人隱藏我的部署令牌?我必須訴諸像GCP KMS這樣的解決方案嗎?
CircleCI員工澄清this for me on their forums。
這一警告意味着爲配置[.yml。您可以安全地使用基於UI的CircleCI環境變量。
如果回購/項目是公開的,你只是想確保:
- envars在分叉的版本是在設置關閉
- 你沒有迴音/打印那些變量建立輸出,因爲在所有這可能是向所有人開放
所以有可能有一個公共的回購(因此公衆CircleCI項目),並在CircleCI GUI配置安全部署密鑰。
這聽起來像你正在使用CircleCI您的回購,但項目的開源版本不需要像火力地堡部署工具。如果這是正確的,那麼您應該將Firebase部署令牌保留在任何方便和安全的地方。
它還聽起來也許你只是在你的回購保持部署令牌直接的權利,因爲這是私人的。如果您在回購中只有少數祕密,像git-crypt之類的東西可能會滿足您的需求。一旦你達到了更大的音量,你可能會想要一些集中的,並使用Cloud KMS to encrypt secrets是一種選擇。
您好@Maya,謝謝您的回覆。我更新了我的問題,以澄清我的設置。對任何混淆抱歉。我將考慮您已鏈接的選項,但希望瞭解有關CircleCI 2.0如何處理帶有公共回購項目的Env Vars的更多知識。 – jthegedus