我如何在 CircleCI 中安全地使用 Gemfury 代币?
How do I use Gemfury tokens securely in CircleCI?
我正在使用 gemfury 托管一个私人包,供我的 github 组织中的其他人使用。我也在为 building/pushing 使用 CircleCI(但这适用于任何 CI 系统)。
我的 CI 设置监视 github 中的任何新标签,然后将这个新标签推送到 gemfury。
我当前设置的问题是我正在使用我的个人访问令牌进行身份验证。对我来说,这意味着构建取决于我作为组织合作者的身份,如果我离开就会中断。我知道我可以改用帐户令牌,但感觉不安全(如果令牌被泄露会怎样?)。
理想情况下,我将能够生成属于组织的特定于应用程序的推送令牌,并在 CircleCI 中使用它们。如果令牌被泄露,它可以很容易地被撤销并且不会破坏其他应用程序。但是,gemfury 不提供此选项。
我认为我唯一的选择是创建一个 "fake" CI 用户并将其添加到我的 github 组织中。然后我可以使用该用户的个人令牌来推送构建。这个对吗?还有其他更好的方法吗?我不想为每个包都添加一个假用户。
你走运了!
登录后在Tokens菜单项下,可以看到一个分页界面,可以在其中创建Push tokens
:
Push tokens βeta
These tokens can authorize new package uploads for this account.
You can integrate these into your CI builds, etc.
这些都是非个人的,可以用来做这个!
祝你好运!
我正在使用 gemfury 托管一个私人包,供我的 github 组织中的其他人使用。我也在为 building/pushing 使用 CircleCI(但这适用于任何 CI 系统)。 我的 CI 设置监视 github 中的任何新标签,然后将这个新标签推送到 gemfury。
我当前设置的问题是我正在使用我的个人访问令牌进行身份验证。对我来说,这意味着构建取决于我作为组织合作者的身份,如果我离开就会中断。我知道我可以改用帐户令牌,但感觉不安全(如果令牌被泄露会怎样?)。
理想情况下,我将能够生成属于组织的特定于应用程序的推送令牌,并在 CircleCI 中使用它们。如果令牌被泄露,它可以很容易地被撤销并且不会破坏其他应用程序。但是,gemfury 不提供此选项。
我认为我唯一的选择是创建一个 "fake" CI 用户并将其添加到我的 github 组织中。然后我可以使用该用户的个人令牌来推送构建。这个对吗?还有其他更好的方法吗?我不想为每个包都添加一个假用户。
你走运了!
登录后在Tokens菜单项下,可以看到一个分页界面,可以在其中创建Push tokens
:
Push tokens βeta
These tokens can authorize new package uploads for this account. You can integrate these into your CI builds, etc.
这些都是非个人的,可以用来做这个!
祝你好运!