我正在创建一个 GitHub 操作,我想分发给其他人使用。但是,我不希望其他人看到代码的逻辑,也不希望他们能够读取代码正在使用的秘密令牌。我将存储库设为私有,但我了解到用户仍然可以通过日志从中获取信息。因此,我想知道如何最好地设置它。
关于第一个问题,如果回购是私有的,人们可以看到实际代码还是只能打印到日志? API 调用怎么样,他们会看到该流量吗(假设我没有打印它)?
关于第二个问题,我把token放在repo的一个文件里,但我知道那不安全。我也尝试将它设置为 repo-secret,但我无法找到如何使用它。
我想我可能需要用所有代码设置另一个服务器,并且只用动作触发它。这是可以做到的,因为操作的用户正在通过秘密将身份验证令牌传递给操作,因此我可以使用它来对我的外部服务器进行身份验证。我还看到 GitHub Apps 存在,但我不知道它们是否是我正在寻找的解决方案。
任何人都可以提供有关如何设置的建议吗?我将非常感激!
您的 GitHub 操作的用户可以阅读代码,除非您将其作为 Docker 操作 与您的代码的一些编译二进制文件一起分发,但是,这仍然可以被逆向工程,因为您的用户将拥有您的操作。
所以在你的行动中隐藏你的秘密通常不是一个好主意。
您可以在托管应用程序中拥有您的“隐藏逻辑和秘密”,然后使用您的 GitHub 操作来运行它。