Rya*_*ott 23 ruby security ruby-on-rails ruby-on-rails-3
我一直在网上搜索,我找不到任何好的/最近的例子,从新的公共rails应用程序中排除什么.我想在GitHub上打开我的应用程序,并想知道应该从源代码控制中删除哪些类型的数据.
据我所知,应该有一个config/config.yml包含私人信息的文件.我一直在寻找通过其他文件,它看起来像config/database.yml,config/intializers/secret_token.rb而且config/initializers/session_store.rb也应被排除在外?
最佳做法是单独排除所有这些文件吗?或者有没有办法config/config.yml在每个文件中定义信息并在其中调用?此外,哪些文件和数据应保密并隐藏?这就是全部吗?
我只是想知道我应该采取什么方法以及最佳做法是什么.谢谢你的帮助!
Pau*_*nti 26
我最近也在研究这个问题; 我想在将开源代码推送到Github的过程中隐藏敏感信息,然后自动推送到Travis CI进行测试,然后从Travis自动部署到Heroku.以下是迄今为止我发现的各种StackOverflow问答,博客等所有内容的详细信息,这些内容有望作为参考,即使只是在Rails应用程序中进行配置(省略任何{{ ... }}你看到的)
免责声明:我不是这里的专家,所以请记住,有可能比我正在尝试的更好的方法.我希望能够在这个Q&A主题中学习一些新技巧.
我目前使用Figaro gem来隐藏ENV环境变量中的敏感信息.在我的(.gitignored)config/application.yml中,我保留了以下信息:
# App keys
SECRET_TOKEN: # your rake secret generated token
development:
DB_NAME: # your dev db name here
DB_USER: # your dev db username here
DB_PASSWORD: # your dev db password here
test:
DB_NAME: # your test db name here
DB_USER: # your test db username here
DB_PASSWORD: # your test db password here
production:
DB_NAME: # your prod db name here
DB_USER: # your prod db username here
DB_PASSWORD: # your prod db password here
# Third Party keys that you will reference in their relevant files
THIRD_PARTY_API_OR_LICENSE_KEY: # list of whatever api/license keys you use
(DB_NAME,DB_USER,和DB_PASSWORD将被动态取决于什么样的环境您的应用程序正在运行中使用).
上面文件(config/application.example.yml)的空版本将被推送到Github,并提供有关如何填写它的一些说明.
推送到Github并引用这些变量的文件如下所示:
config/database.yml
(这里使用了Postgresql,但你应该可以更改你使用的数据库的设置)
postgresql: &postgresql
adapter: postgresql
database: <%= ENV['DB_NAME'] %>
username: <%= ENV['DB_USER'] %>
password: <%= ENV['DB_PASSWORD'] %>
min_messages: ERROR
defaults: &defaults
pool: 5
timeout: 5000
host: localhost
<<: *<%= ENV['DB'] || "postgresql" %>
development:
<<: *defaults
test:
<<: *defaults
production:
<<: *defaults
配置/初始化/ secret_token.rb
if Rails.env.production? && ENV['SECRET_TOKEN'].blank?
raise 'SECRET_TOKEN environment variable must be set!'
end
YourApp::Application.config.secret_token =
ENV['SECRET_TOKEN'] || {{WHATEVER_SECRET_TOKEN_RAILS_GENERATED_BY_DEFAULT}}
(另外,任何文件都会引用THIRD_PARTY_API_OR_LICENSE_KEY-type键.)
使用Travis gem创建加密的travis变量.如果您从Travis工作人员直接部署到Heroku,则需要Heroku API密钥和Heroku Git URL(有关详细信息,请参阅此StackOverflow问答),否则,如果您只是将其用于测试,则可以省略它们:
$ gem install travis
$ travis encrypt your_username/your_repo HEROKU_API_KEY={{YOUR_HEROKU_API_KEY}}
$ travis encrypt HEROKU_GIT_URL={{YOUR_HEROKU_GIT_URL}} # eg git@heroku.com:your_app.git
$ travis encrypt DB_NAME={{YOUR_DB_NAME_UNDER_TEST}} # eg your_app_test
$ travis encrypt DB_USER={{YOUR_DB_USER_UNDER_TEST}}
$ travis encrypt DB_PASSWORD={{YOUR_DB_PASSWORD_UNDER_TEST}}
(另外,加密测试期间可能需要的任何其他密钥,如果有的话...)
然后将它们添加到.travis.yml
(再次以Postgresql为重点,但您应该能够更改您使用的任何数据库的设置)
env:
global:
- secure: {{YOUR_ENCRYPTED_HEROKU_API_KEY}}
- secure: {{YOUR_ENCRYPTED_HEROKU_GIT_URL}}
- secure: {{YOUR_ENCRYPTED_DB_NAME}}
- secure: {{YOUR_ENCRYPTED_DB_USER}}
- secure: {{YOUR_ENCRYPTED_DB_PASSWORD}}
matrix:
- DB: postgresql
before_script:
- psql -c "create database $DB_NAME;" -U $DB_USER
- RAILS_ENV=test bundle exec rake db:migrate
script:
- bundle exec rspec spec/
after_success:
- gem install heroku
- git remote add heroku $HEROKU_GIT_URL
# ... see link above for the rest of the config content
标有相同名称的多个变量secure都很好; 它们会出现在配置中HEROKU_API_KEY=[secure] HEROKU_GIT_URL=[secure]等等.
使用Figaro的Heroku rake任务自动设置Heroku在生产中需要看到的环境变量:
$ rake figaro:heroku
或者,手动设置它们:
$ heroku config:set SECRET_TOKEN={{YOUR_SECRET_TOKEN}}
$ heroku config:set DB_NAME={{YOUR_DB_NAME_UNDER_PRODUCTION}} # eg your_app_production
$ heroku config:set DB_USER={{YOUR_DB_USER_UNDER_PRODUCTION}}
$ heroku config:set DB_PASSWORD={{YOUR_DB_PASSWORD_UNDER_PRODUCTION}}
$ heroku config:set THIRD_PARTY_API_OR_LICENSE_KEY={{YOUR_THIRD_PARTY_API_OR_LICENSE_KEY}}
然后,尝试部署.
这就是我现在所拥有的一切.目前还不确定我是否应该隐藏更多信息,或者我是否隐藏得不够好,但这是一项正在进行中的工作.
| 归档时间: |
|
| 查看次数: |
2697 次 |
| 最近记录: |