Я хотел бы использовать travis-ci для одного из проекты.
Проект представляет собой оболочку API, поэтому многие из тестов полагаются на использование секретных ключей API. Чтобы проверить локально, я просто храню их как переменные среды. Какой безопасный способ использовать эти ключи на Travis?
Travis имеет функцию шифрования переменных среды ( "Шифрование переменных окружения" ). Это можно использовать для защиты ваших секретных ключей API. Я успешно использовал это для своего ключа API Heroku.
Все, что вам нужно сделать, это установить драгоценный камень travis, зашифровать нужную строку и добавить зашифрованную строку в .travis.yml. Шифрование действует только для одного репозитория. Команда travis получает ваш открытый ключ для вашего репо и может затем расшифровать строку во время сборки.
gem install --user travis
travis encrypt MY_SECRET_ENV=super_secret -r my_username/my_repo
Это дает вам следующий результат:
Please add the following to your .travis.yml file:
secure: "OrEeqU0z6GJdC6Sx/XI7AMiQ8NM9GwPpZkVDq6cBHcD6OlSppkSwm6JvopTR\newLDTdtbk/dxKurUzwTeRbplIEe9DiyVDCzEiJGfgfq7woh+GRo+q6+UIWLE\n3nowpI9AzXt7iBhoKhV9lJ1MROrnn4DnlKxAEUlHTDi4Wk8Ei/g="
Согласно этой в документации travis ci сказано, что:
Если у вас установлены клиенты командной строки Heroku и Travis CI, вы можете получить свой ключ, зашифровать его и добавить в свой .travis.yml, выполнив следующую команду из каталога вашего проекта:
travis encrypt $(heroku auth:token) --add deploy.api_key
обратитесь к следующему руководству по установке клиента heroku в соответствии с вашей ОС
Вы также можете определить секретные переменные в настройках репозитория:
Переменные, определенные в настройках репозитория, одинаковы для всех сборников, а при перезагрузке старой сборки используются последние значения. Эти переменные автоматически не доступны для forks.
Определите переменные в настройках репозитория, которые:
- отличаются для каждого репозитория.
- содержат конфиденциальные данные, такие как сторонние учетные данные.
Чтобы определить переменные в настройках репозитория, убедитесь, что вы вошли в систему, перейдите к соответствующему репозиторию, выберите "Настройки" в меню cog и нажмите "Добавить новую переменную" в разделе "Переменные среды".
Используйте другой набор ключей API и делайте это так же. Ваш блок travis будет настроен для вашего запуска сборки, а затем полностью снесен после завершения сборки. У вас есть root-доступ к вашему ящику во время сборки, поэтому вы можете делать с ним все, что хотите.