GitHub Token'larını Güvenli Paylaş

Sorun

GitHub kişisel erişim token'ları ve deploy key'ler, depolara, CI/CD pipeline'larına ve organizasyon kaynaklarına doğrudan erişim sağlar. Bunları Slack veya e-posta üzerinden paylaşmak, otomatik tarayıcıların ve kötü niyetli aktörlerin toplayabileceği aranabilir mesaj geçmişlerinde bırakır. GitHub sızdırılan token'ları aktif olarak tarar ancak sohbet günlüklerinde zaten depolanmış kimlik bilgilerini koruyamaz.

Vaulted nasıl yardımcı olur

Vaulted, GitHub token'ını tarayıcından çıkmadan önce AES-256-GCM ile istemci tarafında şifreler. Kendiliğinden yok olan bağlantı, token'ın yalnızca alıcı onu alana kadar mevcut olmasını sağlar. Sıfır-bilgi mimarisi, Vaulted sunucusunun token'a düz metin olarak hiçbir zaman erişemeyeceği anlamına gelir.

Nasıl yapılır

1. GitHub kişisel erişim token'ını veya deploy key'i Vaulted'a yapıştır
2. Tek görüntüleme limiti ve kısa son kullanma tarihi belirle
3. Şifreli bağlantıyı depo erişimine ihtiyaç duyan geliştiriciye paylaş
4. Geliştirici token'ı kopyalar, ortamını yapılandırır ve bağlantı kendiliğinden yok olur

GitHub token'larını komut satırından paylaş

Tarayıcı açmadan GitHub token'larını paylaşmak için Vaulted CLI'ı kullan: npx vaulted-cli "ghp_xxxxxxxxxxxx" --views 1 --expires 1h. Ekstra güvenlik için parola ekle: npx vaulted-cli "ghp_xxxxxxxxxxxx" -v 1 -p mypassphrase. Genel olarak yükle: npm install -g vaulted-cli.

GitHub token'larını GitHub Actions'da paylaş

CI/CD iş akışlarında token'ları paylaşmak için Vaulted GitHub Action'ı kullan: uses: vaulted-fyi/share-secret@v1 ve GitHub token'ını gizli girdi olarak ayarla. Action istemci tarafında şifreler ve kendiliğinden yok olan bir bağlantı çıktısı verir. GitHub Marketplace'te mevcut.