我对Amazon s3了解不多,但我认为叫secre_access_key的东西大概应该是个秘密。我正在审查Github上某人的开源项目的.travis.yml,它是暴露的。这是作者忽略的东西,还是因为其他用户不能对它做任何事情,所以这根本不重要?
Travis提供了一个 机制 用于将加密数据存储在.travis.yml中,只有travis可以解密。如果文件中的内容是这样的话,那么我就不用担心了(我还是只对锁定的IAM凭证集这样做)。
假设这不是文件中的内容,Aws的密钥绝对应该是秘密的。在更糟糕的情况下(凭证是针对aws根用户的),它可以允许完全控制aws账户(ec2、rds等--不仅仅是s3)。
它也可能是更温和的 - 例如,如果它们是一个权限有限的用户的凭证,只能从一个特定的 s3 bucket 读取一些文件。我还是不建议在公共仓库中检查任何形式的证书。
是的,我遇到了一个问题,一家名为 https:/leakd.io。 捕获了我的密钥,并给我一个道德警告信息。
请不要这样做,试试环境变量