Copiare automaticamente le secret tra più repository di GitHub

Matteo Tumiati, in DevOps, il 22 giugno 2023 alle 08:00

DevOpsGitHubYAML

In GitHub non abbiamo una struttura ben definita per raggruppare una serie di repository in progetti, così come avviene in GitHub. Avere una struttura simile per tutti è spesso importante, perchè così possiamo riutilizzare le stesse informazioni, codice, setting e così via. Sebbene esista il concetto di template, questo non è riutilizzabile per quanto riguarda la gestione delle secret. Infatti, queste non sono accessibili facilmente proprio per questioni di sicurezza.

Tuttavia, è piuttosto facile creare uno script che possa recuperare tutte le secret create all'interno di un repo, per poi andarle a creare all'interno di un altro.

repository_owner="<OWNER>"
repository_name="<REPO_NAME>"
personal_access_token="<PERSONAL_ACCESS_TOKEN>"

# Get secrets using GitHub REST API
secrets=$(curl -s -H "Authorization: token $personal_access_token"   "https://api.github.com/repos/$repository_owner/$repository_name/actions/secrets")

# Extract secret names
secret_names=$(echo "$secrets" | jq -r '.secrets[].name')

# Retrieve secret values
for secret_name in $secret_names; do
  secret_value=$(echo "${{ secrets.$secret_name }}")
  echo "$secret_name=$secret_value"
done

Questo script deve necessariamente essere eseguito all'interno di un workflow di GitHub, perchè altrimenti non potremmo avere accesso al contesto secrets e recuperare il valore effettivo delle secret. Inoltre, è necessario avere un personal access token con i permessi per accedere alle secret del repository e al repository nuovo dove vogliamo aggiungere questi segreti.

Nel caso di esempio stampiamo il valore sulla console, ma per via del data masking vedremo a schermo solo una serie di *** che ci proteggono da una esposizione involontaria dei valori. Per questo motivo possiamo eventualmente salvare la secret su un file, se vogliamo necessariamente leggerla in chiaro, oppure fare una chiamata per la creazione del secret nel nuovo repository. Rimanendo all'interno dello stesso contesto, il valore viene passato senza problemi.

gh secret set $secret_name --body "$secret_value"

Commenti

Visualizza/aggiungi commenti

| Condividi su: Twitter, Facebook, LinkedIn

Per inserire un commento, devi avere un account.

Fai il login e torna a questa pagina, oppure registrati alla nostra community.

Approfondimenti

I più letti di oggi

Autenticazione di git tramite Microsoft Entra ID in Azure DevOps

Copiare automaticamente le secret tra più repository di GitHub

Commenti

Approfondimenti

Fissare una versione dell'agent nelle pipeline di Azure DevOps

Generare la software bill of material (SBOM) in GitHub

Recuperare App Service cancellati su Azure

Escludere alcuni file da GitHub Secret Scanning

Introduzione ai web component HTML

Filtering sulle colonne in una QuickGrid di Blazor

Eseguire script pre e post esecuzione di un workflow di GitHub

Generare una User Delegation SAS in .NET per Azure Blob Storage

Creare una libreria CSS universale: Cards

Ordine e importanza per @layer in CSS

Managed deployment strategy in Azure DevOps

Creare una libreria CSS universale - Rotazione degli elementi

I più letti di oggi

Script via e-mail

In primo piano

.NET Conference Italia 2024 - Milano

.NET Conference Italia 2023 - Milano e Online

Le novità di .NET 7 e C# 11

Le novità in ASP.NET Core e Blazor con .NET 7

In evidenza

Misc

Utilizziamo i cookie per analisi, contenuti personalizzati e pubblicità.