编辑 GitHub 操作日志中未存储在官方操作机密中的文本的机密

【问题标题】:Redacting secrets in GitHub actions logs for text that is not stored in official action secrets编辑 GitHub 操作日志中未存储在官方操作机密中的文本的机密
【发布时间】:2021-07-13 02:04:42
【问题描述】:

Github 操作工作流会自动编辑输出日志中与存储在相关操作机密中的任何机密相匹配的文本。这适用于简单的情况。

但是,我使用 AWS SSM 来存储机密(出于多种原因) - 在某些情况下,我想使用来自 SSM 的值填充给定步骤的环境。不幸的是,动作会自动记录每个步骤的整个环境。由于这些秘密不是官方行动秘密,GH 不知道它们是敏感的并且很乐意记录它们(对我来说不太高兴)。 GH 还记录发送到任何操作步骤的参数 - 许多操作需要敏感变量和标记作为参数。

如果你不使用他们的秘密解决方案,有没有办法做到这一点,或者 GitHub 操作基本上无法使用?

【问题讨论】:

    标签: github-actions


    【解决方案1】:

    是的,你可以Mask a value in log

    这是一个简单的示例,您可以在环境变量中屏蔽值,但可以使用任何值来完成:

    MY_NAME="Mona The Octocat"
echo "::add-mask::$MY_NAME"

    当你在输出中看到这个值时,它会告诉 GitHub,用*** 屏蔽它

    如果您自己实现一个动作并在 toolkit/core 中使用 JavaScript,则有一个函数可以屏蔽日志。

    core.setSecret('myPassword');

    【讨论】:

      猜你喜欢
      • 2023-02-24
      • 2021-08-12
      • 1970-01-01
      • 2021-10-03
      • 2020-01-03
      • 1970-01-01
      • 2021-05-12
      • 2023-04-10
      • 2021-06-15
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode