Travis CI：如何转义密码以使“travis encrypt”正常工作？

Question

travis encryption docs 提到我必须在加密之前对密码进行 bash 转义：

转义某些符号的注意事项

当您使用 travis encrypt 加密敏感数据时，需要注意的是，它将作为 bash 语句处理。这意味着当 bash 解析它时，您正在加密的秘密不应导致错误。数据不完整会导致 bash 将错误语句转储到日志中，其中包含部分敏感数据。

因此，您需要转义特殊字符，例如大括号、圆括号、反斜杠和管道符号。例如，当你要将字符串6&a(5!1Ab\赋值给FOO时，需要执行：

travis encrypt "FOO=6\\&a\\(5\\!1Ab\\\\"

bash 的答案似乎围绕printf "%q" 展开，但要弄清楚如何将printf 与travis cli 连接起来仍然太复杂了。

让travis encrypt 做它应该做的事情是什么？

我的意思是，我想粘贴我的变量名和它的值，并确保它会被正确加密，而不必担心 bash 转义。我们可以继续使用上面的示例，假设我想将字符串 6&a(5!1Ab\ 分配给变量 FOO。

当我们讨论这个问题时，travis env set 对应的单行代码是什么？这将有助于那些与data too large 错误作斗争的人。

Answer 1

基于Armali's answer：

read -r && travis encrypt "$(printf %q "$REPLY")"

然后粘贴您的变量及其值：

FOO=6&a(5!1Ab\

Answer 2

让travis encrypt 做它应该做的事情是什么？

我的意思是，我想粘贴我的变量名及其值，并确保它会被正确加密，而不必担心 bash 转义。

这一般是不可能的，因为如果要在命令行中插入值，某种引用是必不可少的，因此至少有一个引用字符（如果允许出现在值中）必须特殊处理，不能简单粘贴进去；这就是为什么如果 ' 出现在值中（当然' 应该允许在密码中），将值包含在 ' ' 中不起作用的原因。因此，只有当 one-liner 的要求被删除并且值作为输入提供时，才能满足能够粘贴值的要求。
然后，由于travis encrypt 命令需要额外引用参数（也许是因为，正如 chepner 所认为的，eval 被调用），我们可以使用printf %q 提供此引用，例如。 G。

read -r
6&a(5!1Ab\
travis encrypt "$(printf %q "FOO=$REPLY")"

（要粘贴的粗线）。

将VAR=VALUE 放在read 语句中以将所有内容放在一起怎么样？ read -r，粘贴FOO=6&a(5!1Ab\ ，最后粘贴travis encrypt "$(printf %q "$REPLY")"。

当然也可以。

此外，真的没有办法将read -r 的结果传递给travis encrypt吗？

如果你的意思是字面上的管道，那么不，没有办法将某些东西通过管道传递给只需要参数的命令。但是如果你只是想知道我们是否可以连接命令，那么是的，我们也可以写 e。 G。

read -r; travis encrypt "$(printf %q "$REPLY")"
FOO=6&a(5!1Ab\

Answer 3

在构建中仅对字符串进行 base64 解码并对其进行解码要容易得多。通过 travis 中的转义，省去了所有的麻烦。

Travis 和任何其他 CI/CD 服务允许秘密存储环境变量以供每次构建使用。在为您的项目构建设置时，添加环境变量选项。要在 cli 中回显用于 base64 的密码，您仍然需要转义字符串，因为它需要由 bash 评估。使用您的密码创建一个临时文件。那么：

cat /tmp/secret | base64 -w 0

复制字符串并将其粘贴到 travis ci env var 设置的值字段中

在.travis.yaml 文件中简单地检索秘密：

echo $SECRET | base64 -d

虽然可能存在边缘情况，但这应该可以解决大多数用例。