我的組織正在使用 Openshift 來運行多個應用程式。到目前為止,我們的政策是始終將敏感值(資料庫密碼、API 金鑰等)儲存在環境變數中,而不是作為程式碼庫的一部分。然而,多個專案都包含 Dev、QA 和 Prod 實例,導致需要管理大量環境變數。
為了幫助解決這個問題,我編寫了一些工具,以便我們能夠追蹤 YAML 檔案中的變量,然後以聲明方式將它們應用到 Openshift 部署配置中。到目前為止,這些 YAML 檔案位於我工作站上的本機 git 儲存庫中。不過,這有一個明顯的缺點,就是開發團隊中的其他人無法使用它。然而,像我們所有其他 git 儲存庫一樣處理它並將其推送到 Gitlab 或 Github 似乎存在不可接受的風險。
也許我們可以編寫 git hooks 在提交之前自動 GPG 加密檔案並在拉取之後解密?在團隊之間儲存和共享此類敏感儲存庫的最佳實踐方法是什麼?