我想知道是否可以在我的 GitLab 项目中安全地存储密码、令牌和密钥等凭据。
目前有一堆 Java 文件,其中存储了一些密码用于测试目的。但是,出于安全原因,我不想在我的仓库中推送这些信息。我尝试在项目中使用环境变量,但它们似乎只适用于 .gitlab-ci.yml 文件。
我的问题是,是否有人使用 Hashicorps 或 Blackbox 之类的保险库来加密敏感信息?
谢谢
【问题讨论】:
标签: version-control gitlab gitlab-ci credentials hashicorp-vault
您可以查看 GitLab 12.9(2020 年 3 月),它附带:
HashiCorp Vault GitLab CI/CD Managed Application
GitLab 希望让用户能够轻松地进行现代机密管理。作为 GitLab CI 托管应用程序流程的一部分,我们现在为用户提供在 Kubernetes 集群中安装 Vault 的能力。
这将支持在 Helm 图表安装中的项目级别安全管理密钥、令牌和其他机密。
请参阅 documentation 和 issue。
另请参阅GitLab 13.4(2020 年 9 月)
仅适用于高级/白银:
在 CI 作业中使用 HashiCorp Vault 机密
在 GitLab 12.10 中,GitLab 为 GitLab Runner 引入了获取机密并将其注入 CI 作业的功能。 GitLab 现在通过在
.gitlab-ci.yml文件中构建新的secrets语法来扩展 JWT Vault Authentication method。这使您可以更轻松地通过 GitLab 配置和使用 HashiCorp Vault。https://about.gitlab.com/images/13_4/vault_ci.png -- 在 CI 作业中使用 HashiCorp Vault 机密
参见Documentation 和Issue。
【讨论】:
如果您没有在 GitLab 中使用环境变量,那么您是在询问是否可以在 GitLab 中存储机密。我自己没有这样做,但我发现了这篇关于它的帖子:
https://embeddedartistry.com/blog/2018/03/15/safely-storing-secrets-in-git/
作者提出了三种在 git 中存储秘密的方法:
作者使用的是 BlackBox,但打算迁移到 git-crypt。快速浏览一下,git-crypt 看起来像是我可以自己使用的东西。
【讨论】: