Strategie, um geheime Informationen wie API-Schlüssel aus der Quellcodeverwaltung herauszuhalten?

Ich arbeite an einer Website, auf der sich Benutzer mit OAuth-Anmeldeinformationen von Twitter, Google usw. anmelden können. Dazu muss ich mich bei diesen verschiedenen Anbietern registrieren und einen supergeheimen API-Schlüssel erwerben, den ich habe mit Pfand gegen verschiedene Körperteile zu schützen. Wenn mein Schlüssel gerissen wird, wird das Teil gerissen.

Der API-Schlüssel muss mit meiner Quelle übertragen werden, da er zur Laufzeit zur Ausführung von Authentifizierungsanforderungen verwendet wird. In meinem Fall muss der Schlüssel in der Anwendung in einer Konfigurationsdatei oder im Code selbst vorhanden sein. Das ist kein Problem, wenn ich von einer einzelnen Maschine aus baue und veröffentliche. Wenn wir jedoch die Quellcodeverwaltung in die Mischung einbauen, werden die Dinge komplizierter.

Da ich ein billiger Bastard bin, würde ich kostenlose Quellcodeverwaltungsdienste wie TFS in der Cloud oder GitHub bevorzugen. Dies lässt mich ein kleines Rätsel aufkommen:

Wie kann ich meinen Körper intakt halten, wenn sich meine API-Schlüssel in meinem Code befinden und mein Code in einem öffentlichen Repository verfügbar ist?

Ich kann mir eine Reihe von Möglichkeiten vorstellen, damit umzugehen, aber keine davon ist so befriedigend.

• Ich könnte alle privaten Informationen aus dem Code entfernen und sie nach der Bereitstellung wieder bearbeiten. Dies zu implementieren wäre ein schwerwiegender Schmerz (ich werde nicht auf die vielen Möglichkeiten eingehen) und ist keine Option.
• Ich könnte es verschlüsseln. Aber da ich es entschlüsseln muss, kann jeder mit der Quelle herausfinden, wie es geht. Zwecklos.
• Ich könnte für die private Quellcodeverwaltung bezahlen. LOL J / K Geld ausgeben? Bitte.
• Ich könnte Sprachfunktionen verwenden, um vertrauliche Informationen vom Rest meiner Quelle zu trennen und sie daher der Quellcodeverwaltung zu entziehen. Das ist, was ich jetzt tue, aber es könnte leicht durch versehentliches Einchecken der geheimen Datei vermasselt werden.

Ich bin wirklich auf der Suche nach einem garantierten Weg, um sicherzustellen, dass ich meine Daten nicht mit der Welt teile (außer mit Snapchat), der durch Entwicklung, Debugging und Bereitstellung reibungslos funktioniert und außerdem kinderleicht ist. Das ist völlig unrealistisch. Was kann ich also realistisch tun?

_{Technische Details: VS2012, C # 4.5, Quellcodeverwaltung wird entweder TF-Dienst oder GitHub sein. Derzeit wird eine Teilklasse verwendet, um die vertraulichen Schlüssel in einer separaten CS-Datei aufzuteilen, die der Quellcodeverwaltung nicht hinzugefügt wird. Ich denke, GitHub könnte den Vorteil haben, dass .gitignore verwendet werden könnte, um sicherzustellen, dass eine Teilklassendatei nicht eingecheckt wird, aber ich habe das schon früher vermasselt. Ich hoffe auf ein "oh, allgemeines Problem, so machst du es", aber ich muss mich vielleicht mit "das saugt nicht so viel, wie es haben könnte" zufrieden geben: /}

Tragen Sie Ihre geheimen Informationen nicht in Ihren Code ein. Legen Sie es in eine Konfigurationsdatei, die beim Start von Ihrem Code gelesen wird. Konfigurationsdateien sollten nicht der Versionskontrolle unterzogen werden, es sei denn, es handelt sich um die "werkseitigen Standardeinstellungen", und sie sollten dann keine privaten Informationen enthalten.

Informationen dazu finden Sie in der Frage Versionskontrolle und persönliche Konfigurationsdatei .

Sie können alle privaten / geschützten Schlüssel als Systemumgebungsvariablen angeben. Ihre Konfigurationsdatei sieht folgendermaßen aus:

private.key=#{systemEnvironment['PRIVATE_KEY']}

So gehen wir mit diesen Fällen um und nichts geht in den Code. Es funktioniert sehr gut in Kombination mit verschiedenen Eigenschaftendateien und -profilen. Wir verwenden unterschiedliche Eigenschaftendateien für unterschiedliche Umgebungen. In unserer lokalen Entwicklungsumgebung haben wir die Entwicklungsschlüssel in die Eigenschaftendateien eingefügt, um die lokale Einrichtung zu vereinfachen:

private.key=A_DEVELOPMENT_LONG_KEY

Reine Git Weise

• .gitignore enthaltene Datei mit privaten Daten
• Verwenden Sie eine lokale Niederlassung, in dem Sie ersetzen TEMPLATEmitDATA
• Verwenden Sie Smudge / Clean-Filter, in denen das Skript des (lokalen) Filters bidirektionales Ersetzen TEMPLATE<-> ausführtDATA

Merkurischer Weg

• MQ-Patch (es) auf dem Dummy - Code, der ersetzen TEMPLATEmit DATA(Changeset öffentlich sind, Patch ist privat)
• Schlüsselworterweiterung mit speziell gestalteten Schlüsselwörtern (nur in Ihrem Arbeitsverzeichnis erweitert )

SCM-agnostischer Weg

• Ersetzen von Schlüsselwörtern als Teil des Erstellungs- / Bereitstellungsprozesses

Ich lege Geheimnisse in verschlüsselte Dateien, die ich dann festschreibe. Die Passphrase wird beim Start des Systems bereitgestellt oder in einer kleinen Datei gespeichert, die ich nicht festschreibe. Es ist schön, dass Emacs diese verschlüsselten Dateien munter verwaltet. Zum Beispiel enthält die emacs-Init-Datei: (load "secrets.el.gpg"), was einfach funktioniert - und mich in den seltenen Fällen zur Eingabe des Passworts auffordert, wenn ich den Editor starte. Ich mache mir keine Sorgen, dass jemand die Verschlüsselung bricht.

Dies ist sehr Android / Gradle-spezifisch, aber Sie können die Schlüssel in Ihrer globalen gradle.propertiesDatei in definieren user home/.gradle/. Dies ist auch nützlich, da Sie je nach BuildType oder Version, dh API für dev und unterschiedliche für release, unterschiedliche Eigenschaften verwenden können.

gradle.properties

MY_PRIVATE_API_KEY=12356abcefg

build.gradle

buildTypes {
        debug{
            buildConfigField("String", "GOOGLE_VERIFICATION_API_KEY", "\"" + MY_PRIVATE_API_KEY +"\"")
            minifyEnabled false
            applicationIdSuffix ".debug"
            }
        }

In Code, auf den Sie so verweisen würden

String myAPI = BuildConfig.GOOGLE_VERIFICATION_API_KEY;

Sie sollten diesen Schlüssel nicht mit Ihrer Anwendung verteilen oder im Quellcode-Repository speichern. Diese Frage fragt, wie man das macht, und das ist nicht das, was normalerweise gemacht wird.

Mobile Webanwendung

Für Android / iPhone sollte das Gerät den SCHLÜSSEL von Ihrem eigenen Webdienst anfordern, wenn die App zum ersten Mal ausgeführt wird. Der Schlüssel wird dann an einem sicheren Ort aufbewahrt. Sollte der Schlüssel vom Verlag geändert oder widerrufen werden. Ihr Webdienst kann einen neuen Schlüssel veröffentlichen.

Gehostete Webanwendung

Kunden, die eine Lizenz für Ihre Software verwenden, müssen den Schlüssel bei der Erstkonfiguration der Software manuell eingeben. Sie können jedem den gleichen oder einen anderen Schlüssel geben oder ihm einen eigenen geben.

Veröffentlichter Quellcode

Sie speichern Ihren Quellcode in einem öffentlichen Repository, nicht jedoch den KEY. In der Konfiguration der Datei fügen Sie die Zeilen ein * Schlüssel hier platzieren * . Wenn ein Entwickler Ihren Quellcode verwendet, erstellt er eine Kopie der sample.cfgDatei und fügt seinen eigenen Schlüssel hinzu.

Sie behalten Ihre config.cfgfür die Entwicklung oder Produktion verwendete Datei nicht im Repository.

Verwenden Sie Umgebungsvariablen für geheime Dinge, die sich für jeden Server ändern.

http://en.wikipedia.org/wiki/Environment_variable

Wie man sie benutzt, ist sprachabhängig.

Ich denke, das ist ein Problem, mit dem jeder irgendwann Probleme hatte.

Hier ist ein Workflow, den ich verwendet habe und der möglicherweise für Sie funktioniert. Es verwendet .gitignore mit einem Twist:

1. Alle Konfigurationsdateien befinden sich in einem speziellen Ordner (mit Beispielkonfigurationsdateien - optional)
2. Alle Konfigurationsdateien sind in .gitignore enthalten, damit sie nicht veröffentlicht werden
3. Richten Sie einen gitolite-Server (oder Ihren bevorzugten git-Server) auf einer privaten Box ein
4. Fügen Sie ein Repo mit allen Konfigurationsdateien auf dem privaten Server hinzu
5. Füge ein Skript hinzu, um Konfigurationsdateien in den speziellen Ordner im Haupt-Repository zu kopieren (optional)

Jetzt können Sie das Konfigurations-Repo auf jedes Entwicklungs- und Bereitstellungssystem klonen. Führen Sie einfach das Skript aus, um die Dateien in den richtigen Ordner zu kopieren, und schon sind Sie fertig.

Du bekommst immer noch alle GitHub-Bonbons, teilst deinen Code mit der Welt und die sensiblen Daten befinden sich nie im Hauptrepo, sodass sie nicht an die Öffentlichkeit gehen. Sie sind immer noch nur eine Anziehungskraft und eine Kopie von jedem Bereitstellungssystem entfernt.

Ich benutze eine 15 $ / Jahr Box für den privaten Git Server, aber du kannst auch eine zu Hause einrichten, je nach den Anforderungen von cheapskate ;-)

PS: Sie können auch ein Git-Modul verwenden ( http://git-scm.com/docs/git-submodule ), aber ich vergesse immer die Befehle, also schnelle und schmutzige Regeln!

Verwenden Sie die Verschlüsselung, geben Sie jedoch beim Start einen Hauptschlüssel als Kennwort an der Konsole in eine Datei ein, die nur der Benutzer des Prozesses lesen kann, oder aus einem vom System bereitgestellten Schlüsselspeicher wie dem Mac OS-Schlüsselbund oder dem Windows-Schlüsselspeicher.

Für eine kontinuierliche Lieferung möchten Sie, dass verschiedene Schlüssel irgendwo aufgezeichnet werden. Die Konfiguration sollte vom Code abgegrenzt werden, aber es ist sehr sinnvoll, sie unter Versionskontrolle zu halten.

3 Strategien, noch nicht erwähnt (?)

Beim Einchecken oder in einem VCS-Pre-Check-In-Hook

• suche nach strings mit hoher entropie, beispiel- detect- secret
• Regex-Suche nach bekannten API-Schlüsselmustern. Ein Beispiel sind die AKIA * -Schlüssel von AWS. Git-Secrets ist ein Tool, das darauf basiert. Auch Variablennamen wie 'Passwort' mit ständiger Zuordnung.
• Suche nach bekannten Geheimnissen - Du kennst deine Geheimnisse und suchst nach ihnen. Oder benutze ein Tool, ich habe diesen Proof of Concept geschrieben .

Bereits erwähnte Strategien

• in Datei außerhalb des Quellbaums speichern
• Habe es im Source Tree, aber sage VCS, dass es ignoriert werden soll
• Umgebungsvariablen sind eine Variation beim Speichern von Daten außerhalb des Quellbaums
• Geben Sie den Entwicklern nur nicht die wertvollen Geheimnisse

Halten Sie private Informationen von Ihrer Quellcodeverwaltung fern. Erstellen Sie einen nicht geladenen Standard für die Verteilung, und lassen Sie Ihr VCS den echten ignorieren. Ihr Installationsprozess (ob manuell, konfigurieren / erstellen oder Assistent) sollte das Erstellen und Auffüllen der neuen Datei behandeln. Ändern Sie optional die Berechtigungen für die Datei, um sicherzustellen, dass nur der erforderliche Benutzer (Webserver?) Sie lesen kann.

Leistungen:

• Nimmt keine Entwicklungsentität == Produktionsentität an
• Es wird nicht davon ausgegangen, dass allen Mitarbeitern / Codeprüfern vertraut wird
• Verhindern Sie leichte Fehler, indem Sie die Versionskontrolle deaktivieren
• Einfach zu automatisierende Installationen mit benutzerdefinierter Konfiguration für QA / Builds

Wenn Sie dies bereits tun und es versehentlich einchecken, fügen Sie es Ihrem Projekt hinzu .gitignore. Das macht es unmöglich, es noch einmal zu tun.

Es gibt viele kostenlose Git-Hosts, die private Repositories bereitstellen. Obwohl Sie Ihre Anmeldeinformationen niemals versionieren sollten, können Sie billig sein und auch private Repos haben. ^ _ ^

Warum sollten Sie den OAuth-Schlüssel nicht irgendwo als Rohdaten speichern, sondern den String durch einen Verschlüsselungsalgorithmus führen und als gesalzenen Hash speichern? Verwenden Sie dann eine Konfigurationsdatei, um sie zur Laufzeit wiederherzustellen. Auf diese Weise wird der Schlüssel nirgendwo gespeichert, egal ob auf einer Entwicklungsbox oder auf dem Server.

Sie können sogar eine API erstellen, sodass Ihr Server auf Anfragebasis automatisch einen neuen gesalzenen und gehashten API-Schlüssel generiert. Auf diese Weise kann nicht einmal Ihr Team die OAuth-Quelle sehen.

Bearbeiten: Vielleicht probieren Sie die Stanford Javascript Crypto Library aus . Sie ermöglicht eine ziemlich sichere symmetrische Verschlüsselung / Entschlüsselung.