如何安全地加密Github Webhook上的祕密？

Question

我有一個服務運行在服務器上，每次使用Github Webhooks將新代碼推送到存儲庫時，服務器都會更新並重新啓動。它可以訪問大量數據庫，並且這些數據庫的憑證被硬編碼到配置文件中。我想加密配置文件，並且只在服務啓動時將其解密到內存中。

由於我有服務啓動，它看起來像加密密鑰將需要在Web服務器上存在，這首先打破了加密文件的點。

我可以使用Github的某些認證屬性作爲加密密鑰，或以其他方式將密鑰傳遞給未保存到磁盤的服務器？該文件應該如何保證？

Answer 1

該文件應該如何保護？

不是通過GitHub或任何Git相關。

您需要用：

• 外部服務（如hashicorp/vault）
• 或能夠安全地分發祕密（如docker secret）

但是GitHub上本身。平臺僅主機回購，它不管理祕密。
A GitHub webhook只是一個回調，意味着有一個服務正在監聽該回調。