Travis-Ci 的 pypi 部署如何安全?

Posted

技术标签:

【中文标题】Travis-Ci 的 pypi 部署如何安全?【英文标题】:How is Travis-Ci's pypi deployment secure? 【发布时间】:2018-09-07 09:29:44 【问题描述】:

使用travis-ci部署到pypi时,流程为:

    设置 travis-ci 帐户并连接存储库。

    在该存储库中,包含如下所示的 pypi 部署:

    provider: pypi
    
    user: "PYPI_USER"
    
    password:
    
      secure: "PYPI_PASSWORD_SECURED_WITH_TRAVIS_ENCRYPT"
    
    on:
    
      tags: true
    

这个安全模型是如何工作的?为什么别人不能复制我的用户和密码并部署到那个pip包?

【问题讨论】:

【参考方案1】:

这个安全模型是如何工作的?

足够好。 (你还没有和我签订合同,所以我不能给任何承诺。)

为什么别人不能复制我的用户和密码并部署到那个 pip 包?

因为她无法解密你加密的秘密值。 For each registered repository, Travis CI generates an RSA keypair——也就是说,被你的公钥加密的值不能被入侵者的私钥解密,只有你的私钥可以解密,而且私钥只能被 Travis CI 访问。

【讨论】:

哦,我没有意识到它正在从目录内部访问一个 pubkey。这就说得通了。谢谢。

以上是关于Travis-Ci 的 pypi 部署如何安全?的主要内容,如果未能解决你的问题,请参考以下文章

使用 Travis-CI 将多个发行版部署到 PyPI 时防止冲突

PyPI 自动部署

TravisCI 部署找不到 setup.py

使用 travis 的 pypi deploy 构建***

使用Travis-CI自动化部署Hexo博客

github travis-ci持续部署hexo博客