我一直在网上搜索,我找不到任何好的/最近的例子,说明从新的公共rails应用程序中排除什么。我想在GitHub上开源我的应用程序,并想知道应该从源代码控制中删除哪些类型的数据。
据我所知,应该有一个config/config.yml文件,其中包含私人信息。我一直在查看其他文件,看起来config/database.yml,config/intializers/secret_token.rb和config/initializers/session_store.rb也应排除在外?
最佳做法是单独排除所有这些文件吗?或者有没有办法在config/config.yml中定义所有信息并在每个文件中调用?此外,哪些文件和数据应保密并隐藏?这就是全部吗?
我只是想知道我应该采取什么方法以及最佳做法是什么。谢谢你的帮助!
答案 0 :(得分:26)
我最近也在研究这个问题;我希望在将开源代码推送到Github的过程中隐藏敏感信息,然后自动推送到Travis CI进行测试,然后从Travis自动部署到Heroku。以下是迄今为止我发现的各种StackOverflow Q& As,博客等所有内容的详细信息,它们有望成为您的参考,即使只是用于Rails应用程序内的配置(省略任何{{1}你明白了)
免责声明:我绝不是这里的专家,所以请记住,有可能比我正在尝试的更好的方法。我希望能够在这个Q& A帖子中学习一些新的技巧。
我目前使用Figaro gem隐藏{{ ... }}环境变量中的敏感信息。在我的{ENV d) config / application.yml 中,我保留了以下信息:
.gitignore(# App keys
SECRET_TOKEN: # your rake secret generated token
development:
DB_NAME: # your dev db name here
DB_USER: # your dev db username here
DB_PASSWORD: # your dev db password here
test:
DB_NAME: # your test db name here
DB_USER: # your test db username here
DB_PASSWORD: # your test db password here
production:
DB_NAME: # your prod db name here
DB_USER: # your prod db username here
DB_PASSWORD: # your prod db password here
# Third Party keys that you will reference in their relevant files
THIRD_PARTY_API_OR_LICENSE_KEY: # list of whatever api/license keys you use
,DB_NAME和DB_USER将动态使用,具体取决于您的应用运行的环境)。
上述文件的空版本( config / application.example.yml )会被推送到Github,并附有一些如何填写的说明。
推送到Github并引用这些变量的文件如下所示:
<强>配置/ database.yml的
(这里使用Postgresql,但您应该可以更改您使用的任何数据库的设置)
DB_PASSWORD<强>配置/初始化/ secret_token.rb
postgresql: &postgresql
adapter: postgresql
database: <%= ENV['DB_NAME'] %>
username: <%= ENV['DB_USER'] %>
password: <%= ENV['DB_PASSWORD'] %>
min_messages: ERROR
defaults: &defaults
pool: 5
timeout: 5000
host: localhost
<<: *<%= ENV['DB'] || "postgresql" %>
development:
<<: *defaults
test:
<<: *defaults
production:
<<: *defaults
(另外,任何文件都会引用if Rails.env.production? && ENV['SECRET_TOKEN'].blank?
raise 'SECRET_TOKEN environment variable must be set!'
end
YourApp::Application.config.secret_token =
ENV['SECRET_TOKEN'] || {{WHATEVER_SECRET_TOKEN_RAILS_GENERATED_BY_DEFAULT}}
- 键入密钥。)
使用Travis gem创建加密的travis变量。如果您从Travis工作人员直接部署到Heroku,则需要Heroku API密钥和Heroku Git URL(有关详细信息,请参阅this StackOverflow Q&A),否则如果您只是将其用于测试,则可以省略它们:
THIRD_PARTY_API_OR_LICENSE_KEY(另外,加密测试期间可能需要的任何其他密钥,如果有的话......)
然后将它们添加到 .travis.yml
(再次以Postgresql为重点,但你应该能够改变你使用的数据库的设置)
$ gem install travis
$ travis encrypt your_username/your_repo HEROKU_API_KEY={{YOUR_HEROKU_API_KEY}}
$ travis encrypt HEROKU_GIT_URL={{YOUR_HEROKU_GIT_URL}} # eg git@heroku.com:your_app.git
$ travis encrypt DB_NAME={{YOUR_DB_NAME_UNDER_TEST}} # eg your_app_test
$ travis encrypt DB_USER={{YOUR_DB_USER_UNDER_TEST}}
$ travis encrypt DB_PASSWORD={{YOUR_DB_PASSWORD_UNDER_TEST}}
标有相同名称env:
global:
- secure: {{YOUR_ENCRYPTED_HEROKU_API_KEY}}
- secure: {{YOUR_ENCRYPTED_HEROKU_GIT_URL}}
- secure: {{YOUR_ENCRYPTED_DB_NAME}}
- secure: {{YOUR_ENCRYPTED_DB_USER}}
- secure: {{YOUR_ENCRYPTED_DB_PASSWORD}}
matrix:
- DB: postgresql
before_script:
- psql -c "create database $DB_NAME;" -U $DB_USER
- RAILS_ENV=test bundle exec rake db:migrate
script:
- bundle exec rspec spec/
after_success:
- gem install heroku
- git remote add heroku $HEROKU_GIT_URL
# ... see link above for the rest of the config content
的多个变量很好;它们将在配置中显示为secure等。
使用Figaro的Heroku rake任务自动设置Heroku在生产中需要看到的环境变量:
HEROKU_API_KEY=[secure] HEROKU_GIT_URL=[secure]或者,手动设置:
$ rake figaro:heroku
然后,尝试部署。
这就是我现在所拥有的一切。目前还不确定我是否应该隐藏更多信息,或者我是否隐藏得不够好,但这是一项正在进行中的工作。
答案 1 :(得分:4)
你会得到不同的意见。恕我直言,这是包含这些文件的最佳做法,但省略了它们的秘密内容。记录您正在做的事情,以便对您的项目不熟悉的开发人员知道他们需要填写什么。
Phusion有一篇关于如何处理Rails会话秘密的博客文章,以及您可以做出的包含或排除信息的权衡:
http://blog.phusion.nl/2013/01/04/securing-the-rails-session-secret/#.URYPXekTMak
我最喜欢记录这些的方法是使用“rake setup”任务。你可以让任务打印出开发人员需要做的事情 - 换句话说,你不需要自动化它(尽管如果你能够这样做,这很好)。
如果您想获得想象力,请让您的文件从共享/目录中读取秘密设置,这也可以启用部署符号链接。这也在Phusion博客中有所描述。这就是我构建需要经常部署的应用程序的方式。