security - 我应该在 GitHub 操作工作流程结束时删除机密文件吗?

我有一些操作需要将 store 秘密放入文件中。这个秘密稍后被另一个作业使用,例如:

env:
  FIREBASE_DISTRIBUTION_KEY: ${{ secrets.GCP_SA_FIREBASE_DISTRIBUTION_PROD_KEY }}
run: |
  echo $FIREBASE_DISTRIBUTION_KEY > key.json
  export GOOGLE_APPLICATION_CREDENTIALS=key.json

从 security 的角度来看,我应该在工作流结束时删除 key.json 吗?喜欢:

- name: Remove credentials
  if: always()
  run: |
    rm key.json

我正在考虑 GitHub 操作容器被破坏并且有人可以访问文件的情况。或者不相信 GitHub 他们正在完全删除 GitHub 操作容器。

回答1

这不是必需的。

首先,GitHub 动作运行器不是容器,它们是虚拟机。没有容器逃逸的机会,也没有“清理”容器的概念。

虚拟机被彻底销毁。运行您的作业的虚拟机及其任何磁盘映像都不会被重新使用。

相似文章

git - Git 中的自动拉取请求

我有一个小脚本,它对某些文件进行一些更改并推送这些更改。但是,在脚本运行后,我得到了PRurl,我必须从浏览器手动提交它。如何自动化它,以便自动创建拉取请求。#!/bin/bashgitclone-b...

最新文章