AS
Да там все описано норм. Но мне больше понравилось как делает werf у фланта. Бинарники от git crypt тоже не нравятся
а как он делает ?
Size: a a a
2020 August 26
DS
а как он делает ?
Ну там он шифрует секреты и как base64 строку вставляет прям в файл.
Например:
https://ru.werf.io/documentation/reference/deploy_process/working_with_secrets.html#%D1%88%D0%B8%D1%84%D1%80%D0%B0%D1%86%D0%B8%D1%8F-%D1%81%D0%B5%D0%BA%D1%80%D0%B5%D1%82%D0%BD%D1%8B%D1%85-%D0%BF%D0%B5%D1%80%D0%B5%D0%BC%D0%B5%D0%BD%D0%BD%D1%8B%D1%85
Например:
mysql:
host: 10005968c24e593b9821eadd5ea1801eb6c9535bd2ba0f9bcfbcd647fddede9da0bf6e13de83eb80ebe3cad4
user: 100016edd63bb1523366dc5fd971a23edae3e59885153ecb5ed89c3d31150349a4ff786760c886e5c0293990
password: 10000ef541683fab215132687a63074796b3892d68000a33a4a3ddc673c3f4de81990ca654fca0130f17
db: 1000db50be293432129acb741de54209a33bf479ae2e0f53462b5053c30da7584e31a589f5206cfa4a8e249d20
https://ru.werf.io/documentation/reference/deploy_process/working_with_secrets.html#%D1%88%D0%B8%D1%84%D1%80%D0%B0%D1%86%D0%B8%D1%8F-%D1%81%D0%B5%D0%BA%D1%80%D0%B5%D1%82%D0%BD%D1%8B%D1%85-%D0%BF%D0%B5%D1%80%D0%B5%D0%BC%D0%B5%D0%BD%D0%BD%D1%8B%D1%85
AS
хм. что только люди не сделают лишь бы не использовать sops
AS
но ок
DS
хм. что только люди не сделают лишь бы не использовать sops
а что за sops?
AS
мозиловский шифрователь ямлов
AS
у него чуть больше бекендов чем только шаред кей
AS
умеет во всякие kms/vault и прочее
AS
ну и он же испольщуется под капотом в helm secrets
DB
sops плох тем, что непрозрачен для гита
AS
sops плох тем, что непрозрачен для гита
дак и тут вроде тоже не прозрачно ?
AS
но я пока читаю еще
DB
Шифрование не симметричное, и в фильтры его не запихнуть. А хочется git grep
DS
ну и он же испольщуется под капотом в helm secrets
helm умеет менеджить секреты? Или это плагин какой-то к нему?
DB
git-crypt и openssl c фильтрами позволяют хранить секреты в плейнтексте
AS
helm умеет менеджить секреты? Или это плагин какой-то к нему?
плагин. но я довольно часто его вижу включенным
AS
git-crypt relies on git filters, which were not designed with encryption in mind. As such, git-crypt is not the best tool for encrypting most or all of the files in a repository. Where git-crypt really shines is where most of your repository is public, but you have a few files (perhaps private keys named *.key, or a file with API credentials) which you need to encrypt. For encrypting an entire repository, consider using a system like git-remote-gcrypt instead. (Note: no endorsement is made of git-remote-gcrypt's security.)
AS
ну короче с учетом
AS
The latest version of git-crypt is 0.6.0, released on 2017-11-26. git-crypt aims to be bug-free and reliable, meaning it shouldn't crash, malfunction, or expose your confidential data. However, it has not yet reached maturity, meaning it is not as documented, featureful, or easy-to-use as it should be. Additionally, there may be backwards-incompatible changes introduced before version 1.0.