Das Speichern von Passwörtern oder sensiblen Daten in einer Pipeline (wie Bitbucket Pipelines) erfordert einen sicheren Ansatz, um versehentliche Offenlegungen zu vermeiden. Der empfohlene Weg ist, diese Daten als Umgebungsvariablen zu speichern und sie in der Pipeline nur dort zu verwenden, wo sie benötigt werden. Wenn du Passwörter in eine properties-Datei schreiben möchtest, kannst du die folgenden Schritte befolgen.

1. Passwörter sicher in Bitbucket konfigurieren
1. Gehe zu den Repository-Einstellungen:
• Navigiere in Bitbucket zu deinem Repository und wähle Repository Settings > Repository Variables.
2. Füge eine Variable hinzu:
• Füge eine neue Variable hinzu, z. B. DB_PASSWORD, und speichere das Passwort dort.
3. Schutz der Variablen:
• Stelle sicher, dass die Variablen als sicher markiert sind, damit sie in den Logs nicht sichtbar sind.

2. Passwort in der Pipeline in eine properties-Datei schreiben

Hier ein Beispiel, wie du ein Passwort in eine .properties-Datei schreiben kannst:

bitbucket-pipelines.yml

pipelines:
default:
– step:
name: Build and Configure
script:
# Erstelle die properties-Datei
– echo „db.username=myuser“ >> config.properties
– echo „db.password=$DB_PASSWORD“ >> config.properties
# Debug: Überprüfe, ob die Datei erstellt wurde (ohne Passwort auszugeben!)
– cat config.properties | grep -v password

3. Best Practices
1. Properties-Datei nicht ins Repository hochladen:
• Stelle sicher, dass die config.properties-Datei in deiner .gitignore steht, damit sie nicht versehentlich ins Repository committet wird.
Beispiel: .gitignore

config.properties

2. Sichere Umgebungsvariablen:
• Verwende ausschließlich Repository- oder Workspace-Variablen, um sensible Daten zu speichern. Schreibe keine Passwörter direkt in die Pipeline-Datei.
3. Debugging vermeiden:
• Vermeide echo $DB_PASSWORD, um das Passwort nicht versehentlich in die Logs zu schreiben.
4. Zugriffsrechte kontrollieren:
• Beschränke den Zugriff auf die Repository-Einstellungen und stelle sicher, dass nur autorisierte Benutzer Änderungen an Variablen oder Pipelines vornehmen können.

4. Alternative: Verwende ein Secrets Management Tool

Wenn du regelmäßig mit sensiblen Daten arbeitest, kannst du auch ein Tool wie AWS Secrets Manager, HashiCorp Vault oder ähnliches in deine Pipeline integrieren, um Passwörter dynamisch zu laden.

Beispiel mit aws-cli:

script:
– SECRET=$(aws secretsmanager get-secret-value –secret-id my-secret –query SecretString –output text)
– echo „db.password=$SECRET“ >> config.properties

Fazit

Mit Bitbucket Pipelines kannst du Passwörter sicher über Umgebungsvariablen speichern und in der Pipeline verwenden, um sie in eine properties-Datei zu schreiben. Achte dabei stets auf Best Practices, um sensible Daten zu schützen.

snauck

Related Articles
How to setup Tensorflow on MacBook Pro M1
Lizenz- und Supportstrategie für Java
Setup a local test-environment for PL/SQL with utPLSQL

Leave a comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Theme: Illdy. © Copyright 2022. All Rights Reserved.