AI 年度盘点与2025发展趋势展望,50+案例解析亮相AICon 了解详情
写点什么

让部署更快更安全,GitHub 无密码部署现已上线

作者:Nsikan Essien

  • 2023-04-21
    北京
  • 本文字数:978 字

    阅读完需:约 3 分钟

让部署更快更安全,GitHub无密码部署现已上线

GitHub 的 CI/CD 服务产品 GitHub Actions 现在支持使用Open Identity Connect凭证对 Hashicorp Vault、AWS、Azure 和 GCP 等云提供商进行身份验证,而无需使用长期凭证或密码。

 

云的现代开发通常需要针对云提供商对持续集成和持续部署(CI/CD)服务器进行身份验证,以便对已配置的基础设施进行更改。从历史上看,这是通过在云提供商中创建一个身份来实现的,CI/CD 服务器可以通过使用一组长期存在的、手动设置的凭证来假定这个身份。考虑到这些凭证的用途,它们的妥协终究会带来重大的业务风险。

 

OpenID Connect身份验证协议是一种可互操作的机制,用于提供有关用户身份的可验证信息。假如用户的身份提供者是验证方能够信任的提供者,则可以在称为ID令牌Json Web令牌(JWT)中以声明的形式提供相关用户数据。

 

使用 GitHub Actions,第一步是在云提供商的身份和访问管理配置中将 GitHub 注册为外部身份源。在执行工作流时,管道可以访问管道唯一运行范围内的 ID 令牌。令牌包括令牌的期望受众、其持有者的标识符以及其他元数据。

 

然后,云提供商可以使用该信息来为任何的后续操作颁发短期凭证,例如访问令牌。目前 GitHub Actions 支持Hashicorp Vault亚马逊网络服务Azure谷歌云平台

 


自该新特性发布以来,人们对它的反响基本上是积极的,Hashicorp 创始人Mitchell Hashimoto在推特上写道:

 

最近发现 GitHub Actions 每次运行都会创建一个 OIDC 标识,因此可以将 Vault 配置为允许 w/Actions 身份认证,然后使用它来访问……任何内容。虽然需要进行一些清理,但这是非常有希望的!

 

尽管反响热烈,但其采用速度似乎比预期的要慢,WhiteDuck DevOps 的咨询与运营主管 Nico Meisenzahl在推特上写道:

 

在 #GitHub Actions 中使用 #OIDC 进行云提供商和 #Kubernetes 身份验证已经是一件大事件了吗?我虽然看到了它的很多优点,但已经采用它的人并不多。

 

继 GitHub 于 2021 年底发布该特性以来,其他 CI/CD 提供商也在其产品中添加了类似的集成。2022 年底发布的 GitLab 15.7 版本支持访问Hashicorp Vault、AWS、Azure和GCP,而 Circle CI 于 2023 年 2 月宣布支持GCP和AWS集成。

 

所有计划都可以使用 GitHub Actions OIDC 登录云提供商,而无需额外的费用。

 

原文链接:

https://www.infoq.com/news/2023/03/passwordless-deployments-github/


相关阅读:

玩转 Github:三分钟教你如何用 Github 快速找到优秀的开源项目

8 个很酷的 GitHub 技巧

2023-04-21 08:008323

评论

发布
暂无评论
发现更多内容

setState 和 ModelBinding用法对比来看局部刷新效果

岛上码农

flutter ios 安卓开发 跨平台开发 5月月更

【愚公系列】2022年05月 二十三种设计模式(十四)-命令模式(Command Pattern)

愚公搬代码

5月月更

数据库连接池 -Druid 源码学习(五)

wjchenge

Druid 数据库连接池

Cocos Creator学习のTiledMap

空城机

Cocos 5月月更

一文掌握MySQL中的二进制日志,MySQL 优化学习第10天

梦想橡皮擦

5月月更

druid 源码阅读(五)初始化连接池总结

爱晒太阳的大白

5月月更

druid 源码阅读 5——讨论下druid为什么不用AtomicLong

张大彪

ArrayList源码分析-初始化

zarmnosaj

5月月更

C++最佳实践 | 5. 可移植性及多线程

俞凡

c++ 最佳实践

Maven 依赖管理与生命周期

Emperor_LawD

maven 5月月更

在线文本去重统计工具

入门小站

工具

架构实战营:毕业总结

刘璐

【LeetCode】不含重复字符的最长子字符串Java题解

Albert

LeetCode 5月月更

一篇文章带你了解云计算

工程师日月

5月月更

模块九作业 - 设计电商秒杀系统

smile

架构实战营

K8S 准入控制器有哪些是默认的?

baiyutang

Docker Kubernetes 云原生 k8s 5月月更

MP4封装格式

Loken

音视频 5月月更

C++最佳实践 | 3. 安全性

俞凡

c++ 最佳实践

学生管理系统(3)

5月月更

模块1-作业

Fan

架构实战营

C++最佳实践 | 4. 可维护性

俞凡

c++ 最佳实践

在线TSV转XML工具

入门小站

工具

架构实战营 - 毕业总结

smile

架构实战营

Go Web 编程入门:快速了解Fiber框架

宇宙之一粟

Go 语言 Fiber 5月月更

设计模式之代理模式

乌龟哥哥

5月月更

模块1作业回答

Geek_701557

一、什么是云原生安全

穿过生命散发芬芳

云原生安全 5月月更

Nacos源码系列—订阅机制的前因后果(上)

牧小农

源码 nacos

SpringWebFlux中WebClient怎么打印日志?

编号94530

spring 日志 WebFlux WebClient

Redis「3」持久化

Samson

学习笔记 Redis 核心技术与实战 5月月更

架构实战营模块5作业

天琪实刚亮

让部署更快更安全,GitHub无密码部署现已上线_软件工程_InfoQ精选文章