概要
Wercker で成果物を GitHub に保存させる場合,
Personal access token を取得して,環境変数に登録すると思う.
この時,Protected
にチェックをつけると,秘匿されるように見えるのだが,
使用している step によっては漏れていることもあるので気をつけよう.
漏れている例
Wercker でドキュメントをコンパイルして GitHub Pages にアップロードする時に使われる step の一つ,
lvivier/step-gh-pages を使った例.
(2016年9月2日追記) PR が取り込まれたので,最新版の lvivier/step-gh-pages はトークンを公開していません.
git の push メッセージにトークンが含まれている.
環境変数を Protected
にすると,
その環境変数を直接表示するような処理はログから秘匿されると思われるが,
別のプログラムがうっかり出力している場合には対応していないと思われる.
対策?
ビルドログを調べてトークンらしき文字列が出力されていたら,
- 別の step の利用を検討するか,
- private プロジェクトに変更するか,
- 少なくとも実行権限を public 以外にしてログを公開しないようにする