Copiare automaticamente le secret tra più repository di GitHub

Matteo Tumiati, in DevOps, il 22 giugno 2023 alle 08:00

DevOpsGitHubYAML

In GitHub non abbiamo una struttura ben definita per raggruppare una serie di repository in progetti, così come avviene in GitHub. Avere una struttura simile per tutti è spesso importante, perchè così possiamo riutilizzare le stesse informazioni, codice, setting e così via. Sebbene esista il concetto di template, questo non è riutilizzabile per quanto riguarda la gestione delle secret. Infatti, queste non sono accessibili facilmente proprio per questioni di sicurezza.

Tuttavia, è piuttosto facile creare uno script che possa recuperare tutte le secret create all'interno di un repo, per poi andarle a creare all'interno di un altro.

repository_owner="<OWNER>"
repository_name="<REPO_NAME>"
personal_access_token="<PERSONAL_ACCESS_TOKEN>"

# Get secrets using GitHub REST API
secrets=$(curl -s -H "Authorization: token $personal_access_token"   "https://api.github.com/repos/$repository_owner/$repository_name/actions/secrets")

# Extract secret names
secret_names=$(echo "$secrets" | jq -r '.secrets[].name')

# Retrieve secret values
for secret_name in $secret_names; do
  secret_value=$(echo "${{ secrets.$secret_name }}")
  echo "$secret_name=$secret_value"
done

Questo script deve necessariamente essere eseguito all'interno di un workflow di GitHub, perchè altrimenti non potremmo avere accesso al contesto secrets e recuperare il valore effettivo delle secret. Inoltre, è necessario avere un personal access token con i permessi per accedere alle secret del repository e al repository nuovo dove vogliamo aggiungere questi segreti.

Nel caso di esempio stampiamo il valore sulla console, ma per via del data masking vedremo a schermo solo una serie di *** che ci proteggono da una esposizione involontaria dei valori. Per questo motivo possiamo eventualmente salvare la secret su un file, se vogliamo necessariamente leggerla in chiaro, oppure fare una chiamata per la creazione del secret nel nuovo repository. Rimanendo all'interno dello stesso contesto, il valore viene passato senza problemi.

gh secret set $secret_name --body "$secret_value"

Commenti

Visualizza/aggiungi commenti

| Condividi su: Twitter, Facebook, LinkedIn

Per inserire un commento, devi avere un account.

Fai il login e torna a questa pagina, oppure registrati alla nostra community.

Approfondimenti

I più letti di oggi

Immagini vettoriali in SVG con HTML5

Copiare automaticamente le secret tra più repository di GitHub

Commenti

Approfondimenti

Autenticazione di git tramite Microsoft Entra ID in Azure DevOps

Supportare lo HierarchyID di Sql Server in Entity Framework 8

Gestione degli eventi nei Web component HTML

Garantire la provenienza e l'integrità degli artefatti prodotti su GitHub

Esporre i propri servizi applicativi con Semantic Kernel e ASP.NET Web API

Migliorare la sicurezza dei prompt con Azure AI Studio

Ottimizzare le pull con Artifact Cache di Azure Container Registry

Recuperare automaticamente un utente e aggiungerlo ad un gruppo di Azure DevOps

Utilizzare il metodo CountBy di LINQ per semplificare raggruppamenti e i conteggi

Eseguire query in contemporanea con EF

Disabilitare le run concorrenti di una pipeline di Azure DevOps

I più letti di oggi

Script via e-mail

In primo piano

.NET Conference Italia 2024 - Milano

.NET Conference Italia 2023 - Milano e Online

Le novità di .NET 7 e C# 11

Le novità in ASP.NET Core e Blazor con .NET 7

In evidenza

Misc

Utilizziamo i cookie per analisi, contenuti personalizzati e pubblicità.