security - 如何防止 PR 更改我的 CI 配置?
问题描述
我们在 GitHub 上有一个开源项目。我们为 CI 使用 Azure DevOps 管道。
在成功测试后,我们将我们的人工制品发布到 S3 和 Maven,因此所有凭证都存储为秘密变量。
这很好,export
并且echo $top_secret
可以方便地用 *** 混淆,但不幸的是,GitHub 上的任何用户都可以针对我们的 repo 创建一个拉取请求,作为更改的一部分,他们可以编辑我们的 azure-pipelines.yml 并调用 curl(或类似)从环境变量中读取凭据并将它们发送到自己的服务器。
在其他 CI 提供程序 (Travis CI) 中,无法从 PR 分支访问秘密变量。
如何防止 PR 接触我的 CI 配置文件并对其进行任何操作?
解决方案
推荐阅读
- node.js - 404 未找到 nginx/1.18.0 (Ubuntu)
- javascript - 在列表中使用带有 Post 的 href
- flutter - Flutter Page createRoute 设置属性
- r - 使用 zipcodeR 包的两个邮政编码之间的距离不起作用
- scala - NoClassDefFoundError: scala/collection/StringOps
- matlab - matlab如何改变轴的功率?
- c++ - C++ 二维数组拼图
- javascript - 当顶级组件使用 ComponentDidMount 时,使用带有 Hooks 的道具的状态
- php - 如何在 Laravel 中调用变量
- reactjs - 使用 ngnix 作为反向代理进行部署时在反应应用程序中获取空白页面