我一直在网上搜索,但我找不到任何好的/最近的例子来说明从新的公共 Rails 应用程序中排除的内容。我希望在 GitHub 上开源我的应用程序,并且想知道应该从源代码管理中删除哪些类型的数据。
据我所知,应该有一个config/config.yml包含私人信息的文件。我一直在查看其他文件,它看起来像config/database.yml,config/intializers/secret_token.rb也config/initializers/session_store.rb应该被排除在外吗?
单独排除所有这些文件是最佳做法吗?或者有没有办法config/config.yml在每个文件中定义并调用所有信息?此外,哪些文件和数据应该保密和隐藏?这就是他们的全部吗?
我只是想知道我应该采取什么方法以及最佳做法是什么。谢谢你的帮助!
我最近也一直在研究这个;我想在将开源代码推送到 Github、然后自动推送到Travis CI进行测试、然后从 Travis 自动部署到Heroku的整个过程中隐藏敏感信息。以下是迄今为止我在查看各种 StackOverflow 问答、博客等时发现的所有详细信息,希望它们可以作为您的参考,即使仅用于 Rails 应用程序中的配置(省略{{ ... }}您看到的任何内容)
免责声明:我绝不是这里的专家,所以请记住,可能有比我正在尝试的更好的方法来做到这一点。我很想能够在这个问答线程中学习一些新技巧。
我目前使用Figaro gem来隐藏ENV环境变量中的敏感信息。在我的 ( .gitignored) config/application.yml中,我保留了以下信息:
# App keys
SECRET_TOKEN: # your rake secret generated token
development:
DB_NAME: # your dev db name here
DB_USER: # your dev db username here
DB_PASSWORD: # your dev db password here
test:
DB_NAME: # your test db name here
DB_USER: # your test db username here
DB_PASSWORD: # your test db password here
production:
DB_NAME: # your prod db name here
DB_USER: # your prod db username here
DB_PASSWORD: # your prod db password here
# Third Party keys that you will reference in their relevant files
THIRD_PARTY_API_OR_LICENSE_KEY: # list of whatever api/license keys you use
(DB_NAME,DB_USER和DB_PASSWORD将根据您的应用程序运行的环境动态使用)。
上述文件(config/application.example.yml)的一个空版本被推送到 Github,其中包含一些关于如何填写它的说明。
推送到 Github 并引用这些变量的文件如下所示:
config/database.yml
(这里使用 Postgresql,但您应该能够更改您使用的任何数据库的设置)
postgresql: &postgresql
adapter: postgresql
database: <%= ENV['DB_NAME'] %>
username: <%= ENV['DB_USER'] %>
password: <%= ENV['DB_PASSWORD'] %>
min_messages: ERROR
defaults: &defaults
pool: 5
timeout: 5000
host: localhost
<<: *<%= ENV['DB'] || "postgresql" %>
development:
<<: *defaults
test:
<<: *defaults
production:
<<: *defaults
配置/初始化程序/secret_token.rb
if Rails.env.production? && ENV['SECRET_TOKEN'].blank?
raise 'SECRET_TOKEN environment variable must be set!'
end
YourApp::Application.config.secret_token =
ENV['SECRET_TOKEN'] || {{WHATEVER_SECRET_TOKEN_RAILS_GENERATED_BY_DEFAULT}}
(另外,任何文件都会引用THIRD_PARTY_API_OR_LICENSE_KEY-type 键。)
使用Travis gem创建加密的 travis 变量。如果您从 Travis 工作人员直接部署到 Heroku,则需要 Heroku API 密钥和 Heroku Git URL(有关详细信息,请参阅此 StackOverflow Q&A),否则如果您仅将其用于测试,则可以省略它们:
$ gem install travis
$ travis encrypt your_username/your_repo HEROKU_API_KEY={{YOUR_HEROKU_API_KEY}}
$ travis encrypt HEROKU_GIT_URL={{YOUR_HEROKU_GIT_URL}} # eg git@heroku.com:your_app.git
$ travis encrypt DB_NAME={{YOUR_DB_NAME_UNDER_TEST}} # eg your_app_test
$ travis encrypt DB_USER={{YOUR_DB_USER_UNDER_TEST}}
$ travis encrypt DB_PASSWORD={{YOUR_DB_PASSWORD_UNDER_TEST}}
(另外,加密您在测试期间可能需要的任何其他密钥,如果有的话......)
然后将它们添加到.travis.yml
(再次以 Postgresql 为重点,但您应该能够更改您使用的任何数据库的设置)
env:
global:
- secure: {{YOUR_ENCRYPTED_HEROKU_API_KEY}}
- secure: {{YOUR_ENCRYPTED_HEROKU_GIT_URL}}
- secure: {{YOUR_ENCRYPTED_DB_NAME}}
- secure: {{YOUR_ENCRYPTED_DB_USER}}
- secure: {{YOUR_ENCRYPTED_DB_PASSWORD}}
matrix:
- DB: postgresql
before_script:
- psql -c "create database $DB_NAME;" -U $DB_USER
- RAILS_ENV=test bundle exec rake db:migrate
script:
- bundle exec rspec spec/
after_success:
- gem install heroku
- git remote add heroku $HEROKU_GIT_URL
# ... see link above for the rest of the config content
多个同名的变量secure都可以;它们将显示在配置中,HEROKU_API_KEY=[secure] HEROKU_GIT_URL=[secure]等等。
使用 Figaro 的 Heroku rake 任务自动设置 Heroku 在生产中需要查看的环境变量:
$ rake figaro:heroku
或者,手动设置它们:
$ heroku config:set SECRET_TOKEN={{YOUR_SECRET_TOKEN}}
$ heroku config:set DB_NAME={{YOUR_DB_NAME_UNDER_PRODUCTION}} # eg your_app_production
$ heroku config:set DB_USER={{YOUR_DB_USER_UNDER_PRODUCTION}}
$ heroku config:set DB_PASSWORD={{YOUR_DB_PASSWORD_UNDER_PRODUCTION}}
$ heroku config:set THIRD_PARTY_API_OR_LICENSE_KEY={{YOUR_THIRD_PARTY_API_OR_LICENSE_KEY}}
然后,尝试部署。
这就是我现在所拥有的。目前不确定我是否应该隐藏更多信息,或者我是否隐藏得不够好,但这是一项正在进行的工作。
你会得到不同的意见。恕我直言,最好的做法是包含这些文件,但忽略其中的秘密内容。记录您正在做的事情,以便对您的项目不熟悉的开发人员知道他们需要填写什么。
Phusion 有一篇很好的博客文章,介绍了如何处理 Rails 会话机密,以及您可以在包含或排除信息方面做出的权衡:
http://blog.phusion.nl/2013/01/04/securing-the-rails-session-secret/#.URYPXekTMak
我最喜欢的记录方式是使用“rake setup”任务。您可以让任务打印开发人员需要做的事情——换句话说,您不需要全部自动化(尽管如果您能够做到,那就太好了)。
如果您想花哨,请让您的文件从 shared/ 目录中读取秘密设置,这也可以启用部署符号链接。Phusion 博客中也对此进行了描述。这就是我构建需要经常部署的应用程序的方式。