是否将诸如API密钥之类的秘密信息保留在源代码控制之外的策略？

我正在一个网站上工作，该网站将允许用户使用来自Twitter，Google等的OAuth凭据登录。为此，我必须在这些提供商处注册并获得我拥有的超级秘密API密钥用誓言保护身体的各个部位。如果我的钥匙结了，那部分就被拉了。

API密钥必须随我的源一起传送，因为它在运行时用于执行身份验证请求。就我而言，密钥必须存在于应用程序中的配置文件中或代码本身中。当我在一台计算机上进行构建和发布时，这不是问题。但是，当我们将源代码管理混为一谈时，事情就会变得更加复杂。

因为我是个贱人，所以我更喜欢在云或GitHub中使用免费的源代码控制服务，例如TFS。这给我带来了一个小难题：

当我的API密钥在代码中并且我的代码可在公共存储库中使用时，如何保持身体完整？

我可以想到许多方法来解决此问题，但是没有一种方法令人满意。

• 我可以从代码中删除所有私人信息，并在部署后重新编辑。实施起来会很痛苦（我不会在很多方面详述），并且不是一种选择。
• 我可以加密它。但是，由于我必须解密它，因此任何有消息来源的人都可以弄清楚该怎么做。无意义。
• 我可以支付私人来源控制的费用。哈哈j / k花钱了吗？请。
• 我可以使用语言功能将敏感信息与我的其余源代码隔离开，从而使它不受源代码控制。这就是我现在正在做的事情，但是如果错误地检查机密文件，很容易搞砸。

我真的在寻找一种有保证的方式，以确保我不会与世界共享我的私人信息（除了在手套上），这将通过开发，调试和部署而流畅地运行，并且也非常安全。这是完全不现实的。 那我该怎么办呢？

_{技术细节：VS2012，C＃4.5，源代码管理将是TF服务或GitHub。当前使用分部类将敏感键拆分到一个单独的.cs文件中，该文件不会添加到源代码管理中。我认为GitHub可能具有优势，因为.gitignore可以用于确保不检入部分类文件，但是我之前已经搞砸了。我希望有一个“哦，常见的问题，这就是你的做法”，但我可能不得不满足于“没有那么多的吸引力”，：/}

不要将您的秘密信息放入代码中。将其放入配置文件中，该文件在启动时会被您的代码读取。配置文件不应置于版本控制中，除非它们是“出厂默认设置”，然后它们不应具有任何私有信息。

另请参阅问题版本控制和个人配置文件，以了解如何做到这一点。

您可以将所有私有/受保护的密钥作为系统环境变量。您的配置文件将如下所示：

private.key=#{systemEnvironment['PRIVATE_KEY']}

这就是我们处理这些情况的方式，没有任何代码。与不同的属性文件和配置文件结合使用，效果很好。我们针对不同的环境使用不同的属性文件。在我们的本地开发环境中，我们将开发密钥放在属性文件中以简化本地设置：

private.key=A_DEVELOPMENT_LONG_KEY

纯Git方式

• .gitignore 包含私人数据的文件
• 使用本地分支，在其中替换TEMPLATE为DATA
• 使用污迹/清洁过滤器，其中（本地）过滤器的脚本执行双向替换TEMPLATE<->DATA

水星的方式

• 伪代码之上的MQ补丁，替换TEMPLATE为DATA（变更集是公共的，补丁是私有的）
• 带有特殊设计的关键字的关键字扩展名（仅在您的工作目录中扩展）

与SCM无关的方式

• 在构建/部署过程中替换关键字

我将机密放入加密的文件中，然后提交。系统启动时会提供密码，或者将密码存储在我不提交的小文件中。Emacs将很乐意管理这些加密文件，这是很好的。例如，emacs初始化文件包括：（加载“ secrets.el.gpg”），该文件可以正常工作-启动编辑器时提示我输入那些罕见的密码。我不担心有人破坏加密。

这是特定于Android / Gradle的，但您可以在的全局gradle.properties文件中定义键user home/.gradle/。这也很有用，因为您可以根据buildType或flavor使用不同的属性，例如，用于开发的API和用于发布的不同属性。

gradle.properties

MY_PRIVATE_API_KEY=12356abcefg

build.gradle

buildTypes {
        debug{
            buildConfigField("String", "GOOGLE_VERIFICATION_API_KEY", "\"" + MY_PRIVATE_API_KEY +"\"")
            minifyEnabled false
            applicationIdSuffix ".debug"
            }
        }

在代码中，您将像这样引用

String myAPI = BuildConfig.GOOGLE_VERIFICATION_API_KEY;

您不打算随应用程序一起分发该密钥或将其存储在源代码存储库中。这个问题问的是如何做到这一点，而这并不是通常要做的。

移动网络应用

对于Android / iPhone，设备应在首次运行时从您自己的Web服务中请求密钥。然后将密钥存储在安全的位置。发布者是否应更改或撤消密钥。您的Web服务可以发布新密钥。

托管的Web应用程序

使用软件许可证的客户在首次配置软件时必须手动输入密钥。您可以给每个人相同的密钥，不同的密钥，也可以让他们拥有自己的密钥。

发布的源代码

您将源代码存储在公共存储库中，而不存储在KEY中。在文件的配置中，在* 处添加行* 放置键 *。当开发人员使用您的源代码时，他们将复制该sample.cfg文件并添加自己的密钥。

您不会将config.cfg文件用于开发或生产。

将环境变量用于每个服务器都会更改的秘密内容。

http://en.wikipedia.org/wiki/Environment_variable

如何使用它们取决于语言。

我认为这是每个人在某些时候都遇到麻烦的问题。

这是我使用的工作流程，可能对您有用。它使用.gitignore：

1. 所有配置文件都放在一个特殊文件夹中（带有示例配置文件-可选）
2. 所有配置文件都包含在.gitignore中，因此它们不会公开
3. 在私人盒子上设置一个gitolite服务器（或您最喜欢的git服务器）
4. 在私有服务器中添加包含所有配置文件的仓库
5. 添加脚本以将配置文件复制到主仓库中的特殊文件夹中（可选）

现在，您可以将配置存储库克隆到任何开发和部署系统。只需运行脚本将文件复制到正确的文件夹即可。

您仍然可以获得所有GitHub糖果，可以与世界共享您的代码，敏感数据永远不在主存储库中，因此它们不会公开。它们仍然只是任何部署系统的一招和副本。

我为私人git服务器使用15美元/年的价格，但您也可以根据Cheapskate的要求在家里设置一个;-)

PS：您也可以使用git子模块（http://git-scm.com/docs/git-submodule），但我总是忘记命令，因为规则又如此肮脏！

使用加密，但在启动时提供一个主密钥，作为控制台上的密码，仅在进程的用户可以读取的文件中，或从系统提供的密钥存储区（如Mac OS密钥链或Windows密钥存储区）中提供。

为了连续交付，您需要在某个位置记录各种密钥。应该从代码中区分配置，但是将其保持在版本控制之下是很有意义的。

3策略，尚未提及（？）

在检入时或在VCS中进行预检钩

• 搜索具有高熵的字符串，例如，secret-secrets
• regex搜索众所周知的API密钥模式。AWS的AKIA *密钥就是一个示例，git-secrets是基于此的一种工具。同样，变量名称（如“ password”）具有不变的赋值。
• 搜索已知机密-您知道自己的机密，然后在其中搜索文字。还是使用工具，我写了这个概念证明。

已经提到的策略

• 存储在源树之外的文件中
• 在源代码树中有它，但是告诉VCS忽略它
• 环境变量是在源树之外存储数据的一种变体
• 只是不要将宝贵的秘密告诉开发人员

将私人信息置于您的源代码管理之外。创建一个未加载的默认分发版本，并使您的VCS忽略真正的默认版本。您的安装过程（无论是手动，配置/构建还是向导）应处理创建和填充新文件的过程。（可选）修改文件的权限，以确保只有所需的用户（Web服务器？）才能读取它。

好处：

• 不假设开发实体==生产实体
• 不假定所有协作者/代码审阅者都是受信任的
• 通过将其排除在版本控制之外来防止简单的错误
• 通过QA /内部版本的自定义配置，易于自动化安装

如果您已经在执行此操作，并且不小心将其签入，请将其添加到项目的中.gitignore。这将使其无法再次执行。

这里有很多免费的Git主持在提供私人仓库的。尽管您永远不应该对凭据进行版本控制，但是您可以便宜一些，也可以拥有私有存储库。^ _ ^

除了将OAuth密钥存储为原始数据之外，为什么不通过某种加密算法运行字符串并将其存储为盐腌哈希呢？然后使用配置文件在运行时将其还原。这样，密钥就不会存储在任何地方，无论是存储在开发箱中还是服务器本身。

您甚至可以创建一个API，以便您的服务器根据每个请求自动生成一个新的加盐和哈希API密钥，这样，即使您的团队也无法看到OAuth源。

编辑：也许尝试斯坦福Javascript加密库，它允许一些相当安全的对称加密/解密。