DEVOPSLIB Telegram 106
tgoop.com » United States » Библиотека девопса | DevOps, SRE, Sysadmin » Telegram web » Post 106
Библиотека девопса | DevOps, SRE, Sysadmin
🛠️ GitHub Actions: секреты и подводные камни

GitHub Actions сегодня используют все - от пет-проектов до продакшн пайплайнов. Но даже у опытных инженеров часто встречаются ошибки при работе с секретами.

Типичные ошибки:

- Хранение токенов в коде или .env файлах, которые случайно попадают в репозиторий.
- Вывод секретов в логи (например, через echo). GitHub заменяет их на ***, но иногда этого недостаточно.
- Использование одного общего токена для разных окружений (dev, staging, prod).

Лучшие практики:

1. Secrets vs. Environments
Используй Environments с разными наборами секретов для разных стадий. Например: STAGING_DB_PASS и PROD_DB_PASS.

2. OIDC вместо токенов
GitHub поддерживает OIDC Federation. Это значит, что пайплайн может получать временные креды от AWS, GCP или Azure без хранения ключей.

3. Проверяй разрешения по умолчанию
В permissions: указывай минимально необходимые. Например:


   permissions:
     contents: read
     id-token: write


4. Secrets scanning
Включи secret scanning и push protection, чтобы случайно не залить ключи.

💡 Маленький трюк:
Если нужно временно отладить пайплайн с секретом - лучше использовать ::add-mask:: в логах, чем echo.

Подпишись 👉@devopslib
👍1
www.tgoop.com/devopslib/106
628 views



tgoop.com/devopslib/106
Create:
Last Update:

🛠️ GitHub Actions: секреты и подводные камни

GitHub Actions сегодня используют все - от пет-проектов до продакшн пайплайнов. Но даже у опытных инженеров часто встречаются ошибки при работе с секретами.

Типичные ошибки:

- Хранение токенов в коде или .env файлах, которые случайно попадают в репозиторий.
- Вывод секретов в логи (например, через echo). GitHub заменяет их на ***, но иногда этого недостаточно.
- Использование одного общего токена для разных окружений (dev, staging, prod).

Лучшие практики:

1. Secrets vs. Environments
Используй Environments с разными наборами секретов для разных стадий. Например: STAGING_DB_PASS и PROD_DB_PASS.

2. OIDC вместо токенов
GitHub поддерживает OIDC Federation. Это значит, что пайплайн может получать временные креды от AWS, GCP или Azure без хранения ключей.

3. Проверяй разрешения по умолчанию
В permissions: указывай минимально необходимые. Например:


   permissions:
     contents: read
     id-token: write


4. Secrets scanning
Включи secret scanning и push protection, чтобы случайно не залить ключи.

💡 Маленький трюк:
Если нужно временно отладить пайплайн с секретом - лучше использовать ::add-mask:: в логах, чем echo.

Подпишись 👉@devopslib

BY Библиотека девопса | DevOps, SRE, Sysadmin


Share with your friend now:
tgoop.com/devopslib/106

View MORE
Open in Telegram


Telegram News

Date: |

The visual aspect of channels is very critical. In fact, design is the first thing that a potential subscriber pays attention to, even though unconsciously. On Tuesday, some local media outlets included Sing Tao Daily cited sources as saying the Hong Kong government was considering restricting access to Telegram. Privacy Commissioner for Personal Data Ada Chung told to the Legislative Council on Monday that government officials, police and lawmakers remain the targets of “doxxing” despite a privacy law amendment last year that criminalised the malicious disclosure of personal information. Telegram iOS app: In the “Chats” tab, click the new message icon in the right upper corner. Select “New Channel.” How to Create a Private or Public Channel on Telegram? Read now
from us


🛠️ GitHub Actions: секреты и подводные камни

 Библиотека девопса | DevOps, SRE, Sysadmin TG
web: 106
Библиотека девопса | DevOps, SRE, Sysadmin.Telegram web
Библиотека девопса | DevOps, SRE, Sysadmin Telegram TG Channel
Telegram Updated:
Telegram Библиотека девопса | DevOps, SRE, Sysadmin
FROM American