Was ist die beste Vorgehensweise für den Umgang mit Passwörtern in GitHub?

Question

Ich habe ein kleines Bash-Skript, mit dem ich auf Twitter zugreifen und in bestimmten Situationen eine Growl-Benachrichtigung anzeigen kann. Was ist der beste Weg, um mein Passwort mit dem Skript zu speichern?

Ich möchte dieses Skript auf GitHub veröffentlichen, aber ich frage mich, was der beste Weg, um mein Login/Passwort privat zu halten, während dies tun. Derzeit ist das Passwort im Skript selbst gespeichert. Ich kann es nicht direkt vor dem Push entfernen, da alle alten Commits das Passwort enthalten. Entwickeln ohne das Passwort ist keine Option. Ich stelle mir vor, dass ich das Passwort in einer externen Konfigurationsdatei speichern sollte, aber ich dachte, ich würde prüfen, ob es einen etablierten Weg gibt, damit umzugehen, bevor ich versuche, etwas zusammenzusetzen.

Answer 1

Der typische Weg, dies zu tun, ist das Lesen der Passwort-Informationen aus einer Konfigurationsdatei. Wenn Ihre Konfigurationsdatei foobar.config heißt, dann würden Sie eine Datei mit dem Namen foobar.config.example an das Repository übergeben, die Beispieldaten enthält. Um Ihr Programm auszuführen, erstellen Sie eine lokale (nicht nachverfolgte) Datei mit dem Namen foobar.config mit Ihren echten Kennwortdaten.

Um Ihr vorhandenes Passwort aus früheren Commits herauszufiltern, finden Sie auf der GitHub-Hilfeseite unter Removing sensitive data.

Answer 2

Was Greg said, aber ich würde hinzufügen, dass es eine gute Idee ist, in einer Datei foobar.config-TEMPLATE einzuchecken.

Es sollte Beispielnamen, Kennwörter oder andere Konfigurationsinformationen enthalten. Dann ist es sehr offensichtlich, was die echte foobar.config enthalten sollte, ohne in den Code zu schauen, für den Werte in foobar.config vorhanden sein müssen und welches Format sie haben sollten.

Oft können Konfigurationswerte nicht offensichtlich sein, wie Datenbankverbindungszeichenfolgen und ähnliche Dinge.

Answer 3

Wenn Sie Rubin auf Schienen verwenden, ist der Figaro Edelstein sehr gut, einfach und zuverlässig. Es hat einen geringen Kopfschmerzfaktor in der Produktionsumgebung.

Answer 4

Ein Ansatz kann sein, Kennwort (oder API-Schlüssel) mithilfe einer Umgebungsvariablen festzulegen. Also dieses Passwort ist außerhalb der Revisionskontrolle.

Mit Bash können Sie Umgebungsvariable

export YOUR_ENV_VARIABLE=your_password 

Dieser Ansatz kann die Verwendung mit Continuous Integration Services wie Travis, Code (ohne Passwort) werden in einem GitHub Repository gespeichert werden können durch Travis ausgeführt werden (mit Ihrem Passwort wird mit Umgebungsvariable eingestellt).

Mit Bash, Sie Wert einer Umgebungsvariablen erhalten können mit:

echo $YOUR_ENV_VARIABLE 

Mit Python können Sie Wert einer Umgebungsvariablen erhalten mit:

import os 
print os.environ['YOUR_ENV_VARIABLE'] 

PS: beachten Sie, dass es wahrscheinlich ein wenig riskant (aber es ist eine ziemlich häufige Praxis) https://www.bleepingcomputer.com/news/security/javascript-packages-caught-stealing-environment-variables/

PS2: dieser Artikel mit dem Titel "Wie sicher zu speichern API-Schlüssel" https://dev.to/bpedro/how-to-securely-store-api-keys-ab6 kann interessant sein

Answer 5

One zu lesen Vault verwenden können, die, speichert und steuert den Zugriff auf Token, Passwörter, Zertifikate, API-Schlüssel, etc. Zum Beispiel Ansible verwendet die Ansible Vault die

in Playbooks verwendet mit Passwörtern oder Zertifikaten befasst sichert