Appearance
密钥仓库实践
密钥仓库用于存储密码、API Key、证书、令牌等敏感信息。它相比普通仓库有更严格的操作限制和审计机制。
关键特性:
- 不允许 Git clone 到本地。
- 不允许本地推送。
- 支持 Web 端编辑。
- 支持被流水线引用。
- 支持审计、水印和声明式引用范围。
流水线通过 imports 引用密钥文件。
yaml
main:
push:
- imports:
- https://cnb.cool/group/secrets/-/blob/main/env.prod.yml
stages:
- name: deploy
script: |
echo "use imported env vars"密钥文件可通过 allow_slugs、allow_events、allow_branches、allow_images 收敛引用范围。生产密钥应限制到保护分支、受控仓库和必要事件。