Berbagi Token GitHub dengan Aman

Masalah

Personal access token dan deploy key GitHub memberikan akses langsung ke repositori, pipeline CI/CD, dan sumber daya organisasi. Membagikannya melalui Slack atau email meninggalkannya di riwayat pesan yang dapat dicari tempat pemindai otomatis dan aktor jahat dapat memanennya. GitHub secara aktif memindai token yang bocor, namun tidak dapat melindungi kredensial yang sudah tersimpan di log obrolan.

Cara Vaulted membantu

Vaulted mengenkripsi token GitHub-mu di sisi klien menggunakan AES-256-GCM sebelum meninggalkan browsermu. Tautan yang memusnahkan diri memastikan token hanya tersedia sampai penerima mengambilnya. Arsitektur zero-knowledge berarti server Vaulted tidak pernah memiliki akses ke token-mu dalam plaintext.

Cara melakukannya

1. Tempel personal access token atau deploy key GitHub-mu ke Vaulted
2. Tetapkan batas satu tampilan dan jangka waktu kedaluwarsa yang singkat
3. Bagikan tautan terenkripsi ke developer yang membutuhkan akses repositori
4. Mereka menyalin token, mengonfigurasi lingkungannya, dan tautan memusnahkan diri

Berbagi token GitHub dari command line

Gunakan Vaulted CLI untuk berbagi token GitHub tanpa membuka browser: npx vaulted-cli "ghp_xxxxxxxxxxxx" --views 1 --expires 1h. Tambahkan passphrase untuk keamanan ekstra: npx vaulted-cli "ghp_xxxxxxxxxxxx" -v 1 -p mypassphrase. Instal secara global dengan npm install -g vaulted-cli.

Berbagi token GitHub di GitHub Actions

Gunakan Vaulted GitHub Action untuk berbagi token dalam workflow CI/CD: uses: vaulted-fyi/share-secret@v1 dengan token GitHub sebagai secret input. Action mengenkripsi di sisi klien dan menghasilkan tautan yang memusnahkan diri. Tersedia di GitHub Marketplace.