LoginSignup
0
0

More than 5 years have passed since last update.

@jkawamoto(Junpei Kawamoto)

Wercker で GitHub のトークンが漏れてないか調べよう

Last updated at Posted at 2016-08-16

概要

Wercker で成果物を GitHub に保存させる場合,
Personal access token を取得して,環境変数に登録すると思う.
この時,Protected にチェックをつけると,秘匿されるように見えるのだが,
使用している step によっては漏れていることもあるので気をつけよう.

漏れている例

Wercker でドキュメントをコンパイルして GitHub Pages にアップロードする時に使われる step の一つ,
lvivier/step-gh-pages を使った例.

(2016年9月2日追記) PR が取り込まれたので,最新版の lvivier/step-gh-pages はトークンを公開していません.

wercker_log.png

git の push メッセージにトークンが含まれている.

環境変数を Protected にすると,
その環境変数を直接表示するような処理はログから秘匿されると思われるが,
別のプログラムがうっかり出力している場合には対応していないと思われる.

対策?

ビルドログを調べてトークンらしき文字列が出力されていたら,

  • 別の step の利用を検討するか,
  • private プロジェクトに変更するか,
  • 少なくとも実行権限を public 以外にしてログを公開しないようにする
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0