Copiare automaticamente le secret tra più repository di GitHub

Matteo Tumiati, in DevOps, il 22 giugno 2023 alle 08:00

DevOpsGitHubYAML

In GitHub non abbiamo una struttura ben definita per raggruppare una serie di repository in progetti, così come avviene in GitHub. Avere una struttura simile per tutti è spesso importante, perchè così possiamo riutilizzare le stesse informazioni, codice, setting e così via. Sebbene esista il concetto di template, questo non è riutilizzabile per quanto riguarda la gestione delle secret. Infatti, queste non sono accessibili facilmente proprio per questioni di sicurezza.

Tuttavia, è piuttosto facile creare uno script che possa recuperare tutte le secret create all'interno di un repo, per poi andarle a creare all'interno di un altro.

repository_owner="<OWNER>"
repository_name="<REPO_NAME>"
personal_access_token="<PERSONAL_ACCESS_TOKEN>"

# Get secrets using GitHub REST API
secrets=$(curl -s -H "Authorization: token $personal_access_token"   "https://api.github.com/repos/$repository_owner/$repository_name/actions/secrets")

# Extract secret names
secret_names=$(echo "$secrets" | jq -r '.secrets[].name')

# Retrieve secret values
for secret_name in $secret_names; do
  secret_value=$(echo "${{ secrets.$secret_name }}")
  echo "$secret_name=$secret_value"
done

Questo script deve necessariamente essere eseguito all'interno di un workflow di GitHub, perchè altrimenti non potremmo avere accesso al contesto secrets e recuperare il valore effettivo delle secret. Inoltre, è necessario avere un personal access token con i permessi per accedere alle secret del repository e al repository nuovo dove vogliamo aggiungere questi segreti.

Nel caso di esempio stampiamo il valore sulla console, ma per via del data masking vedremo a schermo solo una serie di *** che ci proteggono da una esposizione involontaria dei valori. Per questo motivo possiamo eventualmente salvare la secret su un file, se vogliamo necessariamente leggerla in chiaro, oppure fare una chiamata per la creazione del secret nel nuovo repository. Rimanendo all'interno dello stesso contesto, il valore viene passato senza problemi.

gh secret set $secret_name --body "$secret_value"

Commenti

Visualizza/aggiungi commenti

| Condividi su: Twitter, Facebook, LinkedIn

Per inserire un commento, devi avere un account.

Fai il login e torna a questa pagina, oppure registrati alla nostra community.

Copiare automaticamente le secret tra più repository di GitHub

Commenti

Approfondimenti

Esportare ed analizzare le issue di GitHub con la CLI e GraphQL

Eliminare una project wiki di Azure DevOps

Visualizzare le change sul plan di Terraform tramite le GitHub Actions

Disabilitare automaticamente un workflow di GitHub (parte 2)

Rinnovare il token di una GitHub App durante l'esecuzione di un workflow

Aprire una finestra di dialogo per selezionare una directory in WPF e .NET 8

Utilizzare gRPC su App Service di Azure

Limitare le richieste lato server con l'interactive routing di Blazor 8

Creazione di plugin per Tailwind CSS: espandere le funzionalità del framework dinamicamente

Simulare Azure Cosmos DB in locale con Docker

Aggiornare a .NET 9 su Azure App Service

Cancellare una run di un workflow di GitHub

I più letti di oggi

Script via e-mail

In primo piano

.NET Conference Italia 2024 - Milano

.NET Conference Italia 2023 - Milano e Online

Le novità di .NET 7 e C# 11

Le novità in ASP.NET Core e Blazor con .NET 7

In evidenza

Misc

Utilizziamo i cookie per analisi, contenuti personalizzati e pubblicità.