Skip to content

密钥仓库实践

密钥仓库用于存储密码、API Key、证书、令牌等敏感信息。它相比普通仓库有更严格的操作限制和审计机制。

关键特性:

  • 不允许 Git clone 到本地。
  • 不允许本地推送。
  • 支持 Web 端编辑。
  • 支持被流水线引用。
  • 支持审计、水印和声明式引用范围。

流水线通过 imports 引用密钥文件。

yaml
main:
  push:
    - imports:
        - https://cnb.cool/group/secrets/-/blob/main/env.prod.yml
      stages:
        - name: deploy
          script: |
            echo "use imported env vars"

密钥文件可通过 allow_slugsallow_eventsallow_branchesallow_images 收敛引用范围。生产密钥应限制到保护分支、受控仓库和必要事件。