写点什么

让部署更快更安全,GitHub 无密码部署现已上线

作者:Nsikan Essien

  • 2023-04-21
    北京
  • 本文字数:978 字

    阅读完需:约 3 分钟

让部署更快更安全,GitHub无密码部署现已上线

GitHub 的 CI/CD 服务产品 GitHub Actions 现在支持使用Open Identity Connect凭证对 Hashicorp Vault、AWS、Azure 和 GCP 等云提供商进行身份验证,而无需使用长期凭证或密码。

 

云的现代开发通常需要针对云提供商对持续集成和持续部署(CI/CD)服务器进行身份验证,以便对已配置的基础设施进行更改。从历史上看,这是通过在云提供商中创建一个身份来实现的,CI/CD 服务器可以通过使用一组长期存在的、手动设置的凭证来假定这个身份。考虑到这些凭证的用途,它们的妥协终究会带来重大的业务风险。

 

OpenID Connect身份验证协议是一种可互操作的机制,用于提供有关用户身份的可验证信息。假如用户的身份提供者是验证方能够信任的提供者,则可以在称为ID令牌Json Web令牌(JWT)中以声明的形式提供相关用户数据。

 

使用 GitHub Actions,第一步是在云提供商的身份和访问管理配置中将 GitHub 注册为外部身份源。在执行工作流时,管道可以访问管道唯一运行范围内的 ID 令牌。令牌包括令牌的期望受众、其持有者的标识符以及其他元数据。

 

然后,云提供商可以使用该信息来为任何的后续操作颁发短期凭证,例如访问令牌。目前 GitHub Actions 支持Hashicorp Vault亚马逊网络服务Azure谷歌云平台

 


自该新特性发布以来,人们对它的反响基本上是积极的,Hashicorp 创始人Mitchell Hashimoto在推特上写道:

 

最近发现 GitHub Actions 每次运行都会创建一个 OIDC 标识,因此可以将 Vault 配置为允许 w/Actions 身份认证,然后使用它来访问……任何内容。虽然需要进行一些清理,但这是非常有希望的!

 

尽管反响热烈,但其采用速度似乎比预期的要慢,WhiteDuck DevOps 的咨询与运营主管 Nico Meisenzahl在推特上写道:

 

在 #GitHub Actions 中使用 #OIDC 进行云提供商和 #Kubernetes 身份验证已经是一件大事件了吗?我虽然看到了它的很多优点,但已经采用它的人并不多。

 

继 GitHub 于 2021 年底发布该特性以来,其他 CI/CD 提供商也在其产品中添加了类似的集成。2022 年底发布的 GitLab 15.7 版本支持访问Hashicorp Vault、AWS、Azure和GCP,而 Circle CI 于 2023 年 2 月宣布支持GCP和AWS集成。

 

所有计划都可以使用 GitHub Actions OIDC 登录云提供商,而无需额外的费用。

 

原文链接:

https://www.infoq.com/news/2023/03/passwordless-deployments-github/


相关阅读:

玩转 Github:三分钟教你如何用 Github 快速找到优秀的开源项目

8 个很酷的 GitHub 技巧

2023-04-21 08:008421

评论

发布
暂无评论
发现更多内容

结合RocketMQ 源码,带你了解并发编程的三大神器

华为云开发者联盟

RocketMQ 开发 华为云 12 月 PK 榜

BSN-DDC基础网络DDC SDK详细设计(七):数据解析

BSN研习社

BSN-DDC

一线大厂为什么面试必问分布式?

钟奕礼

Java 程序员 java面试 java编程

雾霾对户外LED显示屏的考验

Dylan

LED LED显示屏 户外LED显示屏

从React源码角度看useCallback,useMemo,useContext

goClient1992

React

从React源码来学hooks是不是更香呢

goClient1992

React

架构实战营模块1第1课 - 什么是架构,你理解对了么

净意

架构实战营

基于云原生的火山引擎边缘云应用与实践

火山引擎边缘云

分布式 云原生 边缘计算 节点 火山引擎边缘计算

译文 | A poor man's API

API7.ai 技术团队

API APISIX RESTful API

火山引擎DataTester揭秘:字节如何用A/B测试,解决增长问题的?

字节跳动数据平台

大数据 AB testing实战 12 月 PK 榜

三翼鸟,用两年开启下一个十年

脑极体

手把手教你成为荣耀开发者:账户结算操作指南

荣耀开发者服务平台

android 开发者 手机 荣耀 honor

星环科技数据中台解决方案,助力某政府机构建设新型智慧城市

星环科技

【11.25-12.02】写作社区优秀技术博文回顾

InfoQ写作社区官方

热门活动

一张「有想法」的表单,玩出线上填表新花样

爱科技的水月

在一次又一次的失败中,我总结了这份万字的《MySQL性能调优笔记》

钟奕礼

Java 程序员 java面试 java编程

国内主流商业智能BI工具剖析

流量猫猫头

大数据

前端培训学习程序员如何提高解决问题的能力

小谷哥

技术内幕 | 阿里云EMR StarRocks 极速数据湖分析

StarRocks

#数据库

大数据培训程序员工作前景如何

小谷哥

【JUC】交换器Exchanger详解

JAVA旭阳

Java JUC

编译器优化丨Cache优化

华为云开发者联盟

后端 开发 华为云 12 月 PK 榜

java培训怎么学习才好?

小谷哥

刘德华在线演唱会,火山引擎边缘云助力打造极致视频直播体验

火山引擎边缘云

云原生 边缘计算 节点 火山引擎边缘计算

云原生应用的最小特权原则

HummerCloud

k8s rbac 云原生安全

大数据培训学习程序员还好找吗

小谷哥

白嫖GitHub Pages,轻松搭建个人博客

LigaAI

Hexo GitHub Pages 个人博客 个人网站 12 月 PK 榜

SEAL 0.3 正式发布:国内首个全链路软件供应链安全管理平台

SEAL安全

安全 全链路 软件供应链 SEAL

从React源码分析看useEffect

goClient1992

React

解读数仓中的数据对象及相关关系

华为云开发者联盟

数据库 后端 华为云 数据对象 12 月 PK 榜

前端培训没有基础应该怎么学习

小谷哥

让部署更快更安全,GitHub无密码部署现已上线_软件工程_InfoQ精选文章